Die neueste version von WordPress Schiffe mit neuen REST-API-Funktionen, die plugins, apps, services, oder die WordPress-core nutzen können.
Die WordPress-Entwicklung-team schiebt neue Funktionen für WordPress, die ganze Zeit. Viele dieser features verbessern die Funktionalität von WordPress deutlich.
Jedes jetzt und dann, obwohl, features Hinzugefügt werden, die problematisch sind, von einem admin-oder user-Sicht. Das Hauptproblem mit der Großteil dieser änderungen ist, dass Sie nicht deaktiviert werden kann leicht. Ich habe Behinderte Emojis und XML-RPC hier auf dieser Seite zum Beispiel.
Die neue REST-API-Funktionalität für die Instanz kann von jedermann verwendet werden, um eine Liste aller Benutzerkonten der WordPress-installation.
Dies allein ist nicht genug, um Zugang zu erhalten, aber sobald Sie etwas mehr wissen über eine Website, die Sie laufen könnten, brute-force-Attacken gegen die Website, versuchen, die Kennwörter zu erraten oder verwenden social engineering, um Zugang zu der Website.
Um fair zu sein, die neue API nicht aussetzen, alles an die öffentlichkeit, dass nicht bereits irgendwo anders auf der Website.
Liste aller Benutzer-Konten
Um eine Liste aller Benutzer-Konten auf einer Website, die läuft WordPress 4.7 (oder neuer vermutlich), alle Sie tun müssen ist, Anhängen von /wp-json/wp/v2/user –s, um Ihre domain-Namen.
Sie können einen filter zuvor in WordPress zu blockieren den Zugang zu den Informationen. Dieser filter scheint zu haben gewesen entfernt in der version 4.7.
Die einzige option, die Sie haben zu blockieren, die Informationen offenbart jedem, der ein plugin zu installieren, schützt die Website vor, die.
WordPress: Block anonymous-REST-API-Zugang
Ein eher einfaches, aber effektives plugin ist Deaktiviert-REST-API. Alle es tut, ist wieder eine “nicht autorisierte” Nachricht an anonyme Anfragen-Anzeige der REST-API Daten.
Das plugin gibt eine Fehlermeldung für jede Anfrage, die nicht durch einen angemeldeten Benutzer der jeweiligen Website.
Es ist auch Wordfence, ein plugin, das fügt Sicherheitsoptionen und-Schutz für WordPress-Seiten.
Schlusswort
Die Daten, die die REST-API zur Verfügung stellt, um anonyme Anfragen verfügbar ist anderswo auf dem öffentlichen Teil des WordPress schon. Der wichtigste Gewinn, den Angreifer von ihm bekommen, dass er listet die Daten in ein nettes format, das spart Ihnen Zeit, da Sie nicht kriechen müssen verschiedene Teile der Seite nicht mehr, um die Informationen abzurufen. (via Born-Stadt)