Nejnovější verze WordPress je dodávána s novými funkcemi REST API, které pluginy, aplikace, služby nebo jádro WordPress mohou využívat.
Vývojový tým WordPress neustále přináší do WordPress nové funkce. Mnoho z těchto funkcí výrazně vylepšuje funkčnost WordPressu.
Každou chvíli se ale přidají funkce, které jsou problematické z hlediska správce nebo uživatele. Hlavním problémem většiny těchto změn je, že je nelze snadno deaktivovat. Zde na tomto webu jsem například deaktivoval Emojis a XML-RPC.
Například novou funkci REST API může kdokoli použít k výpisu všech uživatelských účtů instalace WordPress.
To samo o sobě nestačí k získání přístupu, ale jakmile se o webu dozvíte více, můžete proti němu spustit útoky hrubou silou, pokusit se uhodnout hesla nebo použít sociální inženýrství k získání přístupu na web.
Abychom byli spravedliví, nové API nevystavuje veřejnosti nic, co není k dispozici již někde jinde na webu.
Seznam všech uživatelských účtů
Chcete-li zobrazit seznam všech uživatelských účtů na webu, na kterém běží WordPress 4.7 (nebo pravděpodobně novější), vše, co musíte udělat, je připojit / wp-json / wp / v2 / uživatels na svůj název domény.
Dříve byste mohli nastavit filtr na WordPress, aby blokoval přístup k informacím. Zdá se, že tento filtr byl ve verzi 4 odstraněn.7.
Jedinou možností, kterou musíte zablokovat, aby se informace nikomu neprozrazovaly, je instalace pluginu, který před tím web chrání.
WordPress: Blokování anonymního přístupu REST API
Poměrně jednoduchý, ale efektivní plugin je Zakázat REST API. Všechno, co dělá, je vrátit zprávu „neautorizovanou“ anonymním žádostem o zobrazení dat REST API.
Plugin vrací chybovou zprávu o každém požadavku, který nevytvoří přihlášený uživatel konkrétní stránky.
K dispozici je také Wordfence, plugin, který přidává možnosti zabezpečení a ochranu webům WordPress.
Závěrečná slova
Data, která REST API zpřístupňuje anonymním žádostem, jsou již k dispozici jinde ve veřejné části WordPressu. Hlavním přínosem, který z toho útočníci získají, je to, že uvádí data v pěkném formátu, který jim šetří čas, protože už nemusí procházet různé části webu, aby získali informace. (přes Born City)