WordPress REST API : les 7 endpoints dangereux activés par défaut
> En bref : Votre WordPress expose des données sensibles via la REST API sans que vous le sachiez. Voici les 7 endpoints à vérifier immédiatement.
WordPress expose plus que vous ne le pensez
Par défaut, WordPress active une API REST complète accessible à tout visiteur. Combinée avec des plugins comme ACF, cette API peut exposer des données qui ne sont pas sur votre site public.
Endpoint 1 : /wp-json/wp/v2/users
Liste tous les utilisateurs avec leurs noms, slugs, et parfois emails. Première étape d'une attaque par force brute.
Endpoint 2 : /wp-json/acf/v3/options
Si ACF Pro est installé, cet endpoint peut retourner TOUTES les options du site : y compris les clés API, tokens, et configurations sensibles stockées dans les champs ACF.
Endpoint 3 : /wp-json/wp/v2/media
Énumération de tous les fichiers uploadés. IDs séquentiels = possibilité de télécharger des fichiers privés par incrémentation.
Endpoint 4-7 : Namespaces custom
Chaque plugin qui enregistre un namespace REST crée potentiellement des endpoints non authentifiés. Nous trouvons régulièrement : endpoints de tracking injectables, endpoints d'IA spawning des jobs sans auth, endpoints de configuration exposant des secrets.
Comment vérifier
Accédez à votre-site.com/wp-json/ : si vous voyez une liste de routes, votre API est publique. Contactez-nous pour un revue externe.
À retenir
Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.
Articles liés
Trois analyses proches pour continuer la lecture sur la meme surface de risque.
WordPress 6.8 : ce que le passage a bcrypt change vraiment pour la securite
WordPress 6.8 a remplace phpass par bcrypt pour les mots de passe utilisateurs et introduit BLAKE2b pour plusieurs secrets applicatifs. Voici ce que cela change vraiment, et ce que cela ne corrige pas.
WordPress CVE-2026-8206 : prise de contrôle admin sans authentification via le plugin Kirki
Le plugin WordPress Kirki (6.0.0 à 6.0.6) laisse un attaquant non authentifié prendre le contrôle d'un compte administrateur via un reset de mot de passe défaillant. CVSS 9.8, exploitation active, ~150 000 sites exposés. Correctif : 6.0.7.
Firebase Firestore : pourquoi 'allow read, write: if request.auth != null' n'est pas une sécurité
La règle d'authentification basique de Firestore ne protège pas vos données. Voici pourquoi et comment corriger.
Sources
Services associés
Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.