Acasă » Blog » Securitate site web WordPress

Securitate site web WordPress

Share this post on social!
Servicii Wordpress - Realizare pagini web si plugin-uri

Securitatea unui site este esentiala. In lumea larga sunt multe persoane care in diferite moduri incearca sa obtina informatii sensibile prin care pot obtine bani si alte foloase materiale.

In lumea online infractorii informatici cauta sa exploateze vulnerabilitatile sistemelor IT (site-uri web, aplicatii mobile, servere) pentru a patrunde in zone private de unde intr-un fel sau altul pot avea acces la date pe care le pot folosi in propriul folos, si spre paguba proprietarilor, fie companii, fie institutii, fie persoane fizice.

WordPress. Mentiuni cu privire la securitatea aplicatiilor web

Obtinerea de date despre utilizatorii site-ului web:

Datorita API-ului WP Rest Api pe care se bazeaza acum functionarea unui site WordPress, cineva poate obtine informatii despre utilizatorii inregistrati ai site-ului in felul urmator:

Apeleaza url-ul: https://www.sectorweb.ro/wp-json/wp/v2/users

pentru a primi date i n format json despre userii inegistrati

Sau https://www.sectorweb.ro/wp-json/wp/v2/users/1

pentru a obtine date despre userul cu id-ul 1 (in general administratorul site-ului care a instalat WordPress, tema si pluginurile site-ului)

Remediu pentru blocarea accesului la date despre utilizatorii WordPress

Se adauga acest bloc de cod in fisierul de functii functions.php a temei active (conform documentatiei oficiale WordPress privind WP Rest API: https://developer.wordpress.org/rest-api/frequently-asked-questions/#can-i-disable-the-rest-api)

add_filter( 'rest_authentication_errors', function( $result ) {
    // If a previous authentication check was applied,
    // pass that result along without modification.
    if ( true === $result || is_wp_error( $result ) ) {
        return $result;
    }
 
    // No authentication has been performed yet.
    // Return an error if user is not logged in.
    if ( ! is_user_logged_in() ) {
        return new WP_Error(
            'rest_not_logged_in',
            __( 'You are not currently logged in.' ),
            array( 'status' => 401 )
        );
    }
 
    // Our custom authentication check should have no effect
    // on logged-in requests
    return $result;
});

Semnificatia functiei este ca “sunteaza” afisarea datelor livrate in mod normal de catre WP REST API daca apelul url-ului respectiv se face de catre un utilizator neautentificat in sistemul WordPress al site-ului.

In mod normal, wordpress a considerat ca aceasta nu este o bresa de securitate, dar este adevarat ca oricine poate cunoaste numele de utilzator, numele, prenumele, email-ul, descrierea pentru userii inregistrati ai unui site.

In combinatie cu alte metode revelarea aceastor informatii poate deveni riscanta.

Lasă un răspuns

Traian Constantin Predan

Traian Constantin Predan

Inginer absolvent al Politehnicii București proiectează și construiește sisteme online. Lucrează proiecte extrem de diverse, îi plac viziunile noi care provoacă la dezvoltarea unor soluții tehnice eficiente și stabile.