Plėtra

„WordPress“ blokuoja anoniminę „Rest API“ prieigą

„WordPress“ blokuoja anoniminę „Rest API“ prieigą

Naujausia „WordPress“ versija pateikiama su naujomis REST API galimybėmis, kurias gali naudoti papildiniai, programos, paslaugos ar „WordPress“ pagrindas.

„WordPress“ kūrėjų komanda nuolat skatina naujas „WordPress“ funkcijas. Daugelis šių funkcijų žymiai pagerina „WordPress“ funkcionalumą.

Vis dėlto kartais pridedamos funkcijos, kurios yra problemiškos administratoriaus ar vartotojo požiūriu.  Pagrindinė šių pokyčių problema yra ta, kad jų negalima lengvai išjungti. Pavyzdžiui, šioje svetainėje išjungiau „Emojis“ ir „XML-RPC“.

Pavyzdžiui, naują REST API funkciją gali naudoti visi norėdami išvardyti visas „WordPress“ diegimo vartotojo abonementus.

To savaime nepakanka norint pasiekti, tačiau sužinoję daugiau apie svetainę, galite užpulti žiaurias jėgas prieš svetainę, pabandyti atspėti slaptažodžius arba naudoti socialinę inžineriją, kad galėtumėte pasiekti svetainę.

Teisybės dėlei reikia pasakyti, kad naujoji API viešai neatskleidžia nieko, ko jau nėra kur nors kitur svetainėje.

Išvardinkite visas vartotojų abonementus

Norėdami išvardyti visas vartotojo abonementus svetainėje, kurioje veikia „WordPress 4“.7 (ar tikėtina, kad naujesnė), tereikia pridėti / wp-json / wp / v2 / vartotojass į savo domeno vardą.

Anksčiau „WordPress“ galite nustatyti filtrą, kuris blokuoja prieigą prie informacijos. Atrodo, kad šis filtras buvo pašalintas 4 versijoje.7.

Vienintelis variantas, kurį turite užblokuoti, kad informacija nebūtų niekam atskleista, yra įdiegti papildinį, kuris apsaugo svetainę nuo to.

„WordPress“: blokuokite anoniminę REST API prieigą

Gana paprastas, bet efektyvus papildinys yra „Disable REST API“. Viskas, ką jis daro, yra anoniminėms užklausoms rodyti „REST“ API duomenis „be neleistino“ pranešimo.

Papildinys pateikia klaidos pranešimą apie bet kokią užklausą, kurią nepateikia prisijungęs konkrečios svetainės vartotojas.

Taip pat yra papildinys „Wordfence“, kuris prideda saugos parinktis ir apsaugą „WordPress“ svetainėse.

Uždarymo žodžiai

Duomenys, kuriuos REST API suteikia prieigai prie anoniminių užklausų, jau yra prieinami kitur viešojoje „WordPress“ dalyje. Pagrindinė nauda, ​​kurią užpuolikai gauna, yra ta, kad joje duomenys pateikiami gražiu formatu, kuris taupo jų laiką, nes jiems nebereikia tikrinti įvairių svetainės dalių norint gauti informacijos. (per Born City)

Pelė Žymeklis peršoka arba juda atsitiktinai, kai rašote „Windows 10“
Žymeklis peršoka arba juda atsitiktinai, kai rašote „Windows 10“
Jei pastebite, kad pelės žymeklis peršoka arba juda pats, automatiškai, atsitiktinai, kai vedate „Windows“ nešiojamąjį kompiuterį ar kompiuterį, kai k...
Pelė Kaip pakeisti pelės ir jutiklinių plokščių slinkimo kryptį sistemoje „Windows 10“
Kaip pakeisti pelės ir jutiklinių plokščių slinkimo kryptį sistemoje „Windows 10“
Pelė ir Jutiklinė dalisTai ne tik palengvina skaičiavimus, bet ir efektyvesnį bei mažiau laiko reikalaujantį. Mes neįsivaizduojame gyvenimo be šių pri...
Pelė Kaip pakeisti pelės žymeklio ir žymeklio dydį, spalvą ir schemą sistemoje „Windows 10“
Kaip pakeisti pelės žymeklio ir žymeklio dydį, spalvą ir schemą sistemoje „Windows 10“
„Windows 10“ pelės žymeklis ir žymeklis yra labai svarbūs operacinės sistemos aspektai. Tai galima pasakyti ir apie kitas operacines sistemas, taigi, ...