Naujausia „WordPress“ versija pateikiama su naujomis REST API galimybėmis, kurias gali naudoti papildiniai, programos, paslaugos ar „WordPress“ pagrindas.
„WordPress“ kūrėjų komanda nuolat skatina naujas „WordPress“ funkcijas. Daugelis šių funkcijų žymiai pagerina „WordPress“ funkcionalumą.
Vis dėlto kartais pridedamos funkcijos, kurios yra problemiškos administratoriaus ar vartotojo požiūriu. Pagrindinė šių pokyčių problema yra ta, kad jų negalima lengvai išjungti. Pavyzdžiui, šioje svetainėje išjungiau „Emojis“ ir „XML-RPC“.
Pavyzdžiui, naują REST API funkciją gali naudoti visi norėdami išvardyti visas „WordPress“ diegimo vartotojo abonementus.
To savaime nepakanka norint pasiekti, tačiau sužinoję daugiau apie svetainę, galite užpulti žiaurias jėgas prieš svetainę, pabandyti atspėti slaptažodžius arba naudoti socialinę inžineriją, kad galėtumėte pasiekti svetainę.
Teisybės dėlei reikia pasakyti, kad naujoji API viešai neatskleidžia nieko, ko jau nėra kur nors kitur svetainėje.
Išvardinkite visas vartotojų abonementus
Norėdami išvardyti visas vartotojo abonementus svetainėje, kurioje veikia „WordPress 4“.7 (ar tikėtina, kad naujesnė), tereikia pridėti / wp-json / wp / v2 / vartotojass į savo domeno vardą.
Anksčiau „WordPress“ galite nustatyti filtrą, kuris blokuoja prieigą prie informacijos. Atrodo, kad šis filtras buvo pašalintas 4 versijoje.7.
Vienintelis variantas, kurį turite užblokuoti, kad informacija nebūtų niekam atskleista, yra įdiegti papildinį, kuris apsaugo svetainę nuo to.
„WordPress“: blokuokite anoniminę REST API prieigą
Gana paprastas, bet efektyvus papildinys yra „Disable REST API“. Viskas, ką jis daro, yra anoniminėms užklausoms rodyti „REST“ API duomenis „be neleistino“ pranešimo.
Papildinys pateikia klaidos pranešimą apie bet kokią užklausą, kurią nepateikia prisijungęs konkrečios svetainės vartotojas.
Taip pat yra papildinys „Wordfence“, kuris prideda saugos parinktis ir apsaugą „WordPress“ svetainėse.
Uždarymo žodžiai
Duomenys, kuriuos REST API suteikia prieigai prie anoniminių užklausų, jau yra prieinami kitur viešojoje „WordPress“ dalyje. Pagrindinė nauda, kurią užpuolikai gauna, yra ta, kad joje duomenys pateikiami gražiu formatu, kuris taupo jų laiką, nes jiems nebereikia tikrinti įvairių svetainės dalių norint gauti informacijos. (per Born City)