L’ultima versione di WordPress viene fornito con le nuove API REST funzionalità del plugin, applicazioni, servizi, o l’WordPress può utilizzare.
Il team di sviluppo di WordPress spinge le nuove funzionalità di WordPress per tutto il tempo. Molte di queste caratteristiche per migliorare le funzionalità di WordPress in modo significativo.
Ogni ora e poi, però, le caratteristiche aggiunte che sono problematici da un admin o un utente punto di vista. Il problema principale con la maggior parte di questi cambiamenti è che non può essere disattivato facilmente. Ho disabilitato Emojis e XML-RPC qui su questo sito, per esempio.
La nuova API REST di funzionalità, per esempio, può essere usato da chiunque per un elenco di tutti gli account utente di installazione di WordPress.
Questo, di per sé, non è sufficiente per ottenere l’accesso, ma una volta che sapete di più su un sito, si può eseguire attacchi di forza bruta contro il sito, prova a indovinare le password, o utilizzare tecniche di ingegneria sociale per ottenere l’accesso al sito.
Per essere onesti, la nuova API non esporre nulla al pubblico che non è disponibile già da qualche altra parte sul sito.
Elenco di tutti gli account utente
Elenco di tutti gli account utente su un sito che funziona WordPress 4.7 (o più recente, presumibilmente), tutto quello che dovete fare è aggiungere /wp-json/wp/v2/utentes a proprio nome di dominio.
È possibile impostare un filtro in precedenza in WordPress per bloccare l’accesso alle informazioni. Questo filtro sembra essere stato rimosso nella versione 4.7.
L’unica opzione per bloccare le informazioni che venga rivelato a nessuno, è quello di installare un plugin che protegge dal.
WordPress: Blocco anonimo accesso REST API
Piuttosto semplice, ma efficace plugin è Disattivare API REST. Non fa altro che restituire un “non non autorizzato” messaggio a richieste anonime per visualizzare il RESTO dei dati API.
Il plugin restituisce un messaggio di errore per qualsiasi richiesta che non è fatta da un utente registrato del sito in particolare.
C’è anche Wordfence, un plugin che aggiunge le opzioni di sicurezza e di protezione dei siti WordPress.
Parole Di Chiusura
I dati che l’API REST rende disponibile a richieste anonime è disponibile altrove su la parte pubblica di WordPress già. Il guadagno principale che gli aggressori si da è quella di elencare i dati in un bel formato che li fa risparmiare tempo, in quanto non hanno la ricerca per indicizzazione di varie parti del sito più per recuperare le informazioni. (via Città natale)