La version la plus récente de WordPress est livré avec de nouvelles API REST capacités des plugins, des applications, des services, ou WordPress base peuvent utiliser.
L’équipe de développement de WordPress pousse de nouvelles fonctionnalités à WordPress tout le temps. Plusieurs de ces caractéristiques, d’améliorer la fonctionnalité de WordPress de manière significative.
Chaque maintenant et puis, si, fonctionnalités s’ajoutent les problématiques d’un admin ou un point de vue utilisateur. Le principal problème avec la plupart de ces changements est qu’ils ne peuvent pas être désactivé facilement. J’ai désactivé les Émoticônes et XML-RPC, ici, sur ce site, par exemple.
La nouvelle RESTE des fonctionnalités de l’API par exemple peut être utilisé par quiconque pour la liste de tous les comptes d’utilisateur de l’installation de WordPress.
Ce n’est pas en soi suffisant pour assurer l’accès, mais une fois que vous en savez plus sur un site, vous pouvez exécuter des attaques de force brute contre le site, essayez de deviner les mots de passe, ou l’utilisation de techniques d’ingénierie sociale pour obtenir l’accès au site.
Pour être juste, la nouvelle API n’a pas d’exposer quelque chose pour le public qui n’est pas d’ores et déjà disponibles ailleurs sur le site.
Liste de tous les comptes d’utilisateur
La liste de tous les comptes d’utilisateur sur un site qui fonctionne WordPress 4.7 (ou plus récente, sans doute), tout ce que vous avez à faire est d’ajouter /wp-json/wp/v2/utilisateurs à son nom de domaine.
Vous pouvez définir un filtre précédemment dans WordPress pour bloquer l’accès à l’information. Ce filtre semble avoir été retiré dans la version 4.7.
La seule option que vous avez pour bloquer l’information d’être révélé à personne, est d’installer un plugin qui protège le site.
WordPress: Bloc anonyme RESTE l’accès à l’API
Plutôt simple, mais efficace plugin est de Désactiver l’API REST. Tout ce qu’il fait, c’est le retour d’un “pas non autorisée” message anonyme demandes pour afficher l’API REST de données.
Le plugin renvoie un message d’erreur pour toute demande qui n’est pas faite par un utilisateur connecté de l’emplacement particulier.
Il est également Wordfence, un plugin qui ajoute des options de sécurité et de protection de sites WordPress.
Le Mot De La Fin
Les données que le RESTE de l’API met à la disposition des demandes anonymes sont disponibles ailleurs sur la partie publique de WordPress déjà. Le principal gain que les attaquants obtenir de lui est qu’il répertorie les données dans un format idéal qui permet de gagner du temps, car ils ne sont pas à analyser les diverses parties du site de plus pour récupérer les informations. (via Né de la Ville)