Securitate site web WordPress

Securitatea unui site este esentiala. In lumea larga sunt multe persoane care in diferite moduri incearca sa obtina informatii sensibile prin care pot obtine bani si alte foloase materiale.

In lumea online infractorii informatici cauta sa exploateze vulnerabilitatile sistemelor IT (site-uri web, aplicatii mobile, servere) pentru a patrunde in zone private de unde intr-un fel sau altul pot avea acces la date pe care le pot folosi in propriul folos, si spre paguba proprietarilor, fie companii, fie institutii, fie persoane fizice.

WordPress. Mentiuni cu privire la securitatea aplicatiilor web

Obtinerea de date despre utilizatorii site-ului web:

Datorita API-ului WP Rest Api pe care se bazeaza acum functionarea unui site WordPress, cineva poate obtine informatii despre utilizatorii inregistrati ai site-ului in felul urmator:

Apeleaza url-ul: https://www.sectorweb.ro/wp-json/wp/v2/users

pentru a primi date i n format json despre userii inegistrati

Sau https://www.sectorweb.ro/wp-json/wp/v2/users/1

pentru a obtine date despre userul cu id-ul 1 (in general administratorul site-ului care a instalat WordPress, tema si pluginurile site-ului)

Remediu pentru blocarea accesului la date despre utilizatorii WordPress

Se adauga acest bloc de cod in fisierul de functii functions.php a temei active (conform documentatiei oficiale WordPress privind WP Rest API: https://developer.wordpress.org/rest-api/frequently-asked-questions/#can-i-disable-the-rest-api)

add_filter( 'rest_authentication_errors', function( $result ) {
    // If a previous authentication check was applied,
    // pass that result along without modification.
    if ( true === $result || is_wp_error( $result ) ) {
        return $result;
    }
 
    // No authentication has been performed yet.
    // Return an error if user is not logged in.
    if ( ! is_user_logged_in() ) {
        return new WP_Error(
            'rest_not_logged_in',
            __( 'You are not currently logged in.' ),
            array( 'status' => 401 )
        );
    }
 
    // Our custom authentication check should have no effect
    // on logged-in requests
    return $result;
});

Semnificatia functiei este ca „sunteaza” afisarea datelor livrate in mod normal de catre WP REST API daca apelul url-ului respectiv se face de catre un utilizator neautentificat in sistemul WordPress al site-ului.

In mod normal, wordpress a considerat ca aceasta nu este o bresa de securitate, dar este adevarat ca oricine poate cunoaste numele de utilzator, numele, prenumele, email-ul, descrierea pentru userii inregistrati ai unui site.

In combinatie cu alte metode revelarea aceastor informatii poate deveni riscanta.

 

Leave a Reply

Adresa ta de email nu va fi publicată.

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.