Retour au blog
WordPresstechniquevulnérabilités

WordPress REST API : les 7 endpoints dangereux activés par défaut

Publié le 2026-04-036 min de lectureFlorian

WordPress expose plus que vous ne le pensez

Par défaut, WordPress active une API REST complète accessible à tout visiteur. Combinée avec des plugins comme ACF, cette API peut exposer des données qui ne sont pas sur votre site public.

Endpoint 1 : /wp-json/wp/v2/users

Liste tous les utilisateurs avec leurs noms, slugs, et parfois emails. Première étape d'une attaque par force brute.

Endpoint 2 : /wp-json/acf/v3/options

Si ACF Pro est installé, cet endpoint peut retourner TOUTES les options du site : y compris les clés API, tokens, et configurations sensibles stockées dans les champs ACF.

Endpoint 3 : /wp-json/wp/v2/media

Énumération de tous les fichiers uploadés. IDs séquentiels = possibilité de télécharger des fichiers privés par incrémentation.

Endpoint 4-7 : Namespaces custom

Chaque plugin qui enregistre un namespace REST crée potentiellement des endpoints non authentifiés. Nous trouvons régulièrement : endpoints de tracking injectables, endpoints d'IA spawning des jobs sans auth, endpoints de configuration exposant des secrets.

Comment vérifier

Accédez à votre-site.com/wp-json/ : si vous voyez une liste de routes, votre API est publique. Contactez-nous pour un revue externe.

Articles liés

Trois analyses proches pour continuer la lecture sur la meme surface de risque.

WordPresstechnique

WordPress 6.8 : ce que le passage a bcrypt change vraiment pour la securite

WordPress 6.8 a remplace phpass par bcrypt pour les mots de passe utilisateurs et introduit BLAKE2b pour plusieurs secrets applicatifs. Voici ce que cela change vraiment, et ce que cela ne corrige pas.

2026-04-11 · 7 min de lecture
Firebasetechnique

Firebase Firestore : pourquoi 'allow read, write: if request.auth != null' n'est pas une sécurité

La règle d'authentification basique de Firestore ne protège pas vos données. Voici pourquoi et comment corriger.

2026-03-25 · 6 min de lecture
Laraveltechnique

Laravel : quand Ziggy expose la carte complète de votre application

L'exposition des routes Ziggy et de la configuration Laravel donne aux attaquants une cartographie complète de votre app.

2026-03-10 · 5 min de lecture

Sources

Rédigé par Florian
Revu le 2026-04-03

Analyse éditoriale fondée sur la documentation officielle des éditeurs, projets et autorités concernées.

Services associés

Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

Revue Externe

Obtenir rapidement une lecture claire de l'exposition réelle de votre produit.

Audit Complet

Documenter toutes les failles prioritaires et obtenir un vrai plan de remédiation.

Suivi Récurrent

Surveiller les nouvelles expositions quand votre stack évolue dans le temps.

Besoin d'une revue externe de votre SaaS RH ?

Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

Parler de votre audit