В Вордпрессе есть одна неприятная особенность, которая может облегчить взлом сайта и косвенно помочь взломщикам.
Перейдя по адресу https://«ваш сайт»/wp-json/wp/v2/users либо https://«ваш сайт»/wp-json/wp/v2/users/1 (или др. цифра на конце) вы увидите вывод АПИ.
Попробуйте сами. у кого есть Wordpress.
Отсюда просто можно взять имя пользователя. А поскольку первый-второй пользователь зачастую админ, то возможность взлома облегчается.
Закрыть возможность просмотра можно, добавив в функционал текущей темы
Отсюда — https://templ.io/blog/how-to-remove-hide-users-from-wp-json/
Если у вас надежный пароль, то вряд ли взломают. Но пытаться будут, а эти попытки создают нехилую нагрузку.
Так что лучше такую возможность закрыть.
PS/ Сейчас зачастую пытаются взломать комплексами, к примеру такой сценарий.
Первый бот вычисляет какой движок на сайте. Второй пробегает по уязвимостям. Третий брутфорсит.
Каждый из ботов ведёт списки, которые в случае удачи передает следующему боту.
Против вычисления движка проще всего поудалять с сайта лишние файлы (хотя бы) — ридми, лицензии. инсталл и пр.
Конечно, против вычисления движка желательно бы и пути разные поменять, но может пострадать функционал.
Против уязвимости — обновить всё (плагины, движок, темы) и вот Рест АПИ желательно прикрыть хотя бы в плане пользователей.
Ну и против брутфорса — ограничить перебор, я например использую плагин Limit Login Attempts Reloaded
А какие используете способы вы?
Перейдя по адресу https://«ваш сайт»/wp-json/wp/v2/users либо https://«ваш сайт»/wp-json/wp/v2/users/1 (или др. цифра на конце) вы увидите вывод АПИ.
Попробуйте сами. у кого есть Wordpress.
Отсюда просто можно взять имя пользователя. А поскольку первый-второй пользователь зачастую админ, то возможность взлома облегчается.
Закрыть возможность просмотра можно, добавив в функционал текущей темы
PHP:
// Disable /users rest routes
add_filter('rest_endpoints', function( $endpoints ) {
if ( isset( $endpoints['/wp/v2/users'] ) ) {
unset( $endpoints['/wp/v2/users'] );
}
if ( isset( $endpoints['/wp/v2/users/(?P<id>[\d]+)'] ) ) {
unset( $endpoints['/wp/v2/users/(?P<id>[\d]+)'] );
}
return $endpoints;
});Если у вас надежный пароль, то вряд ли взломают. Но пытаться будут, а эти попытки создают нехилую нагрузку.
Так что лучше такую возможность закрыть.
PS/ Сейчас зачастую пытаются взломать комплексами, к примеру такой сценарий.
Первый бот вычисляет какой движок на сайте. Второй пробегает по уязвимостям. Третий брутфорсит.
Каждый из ботов ведёт списки, которые в случае удачи передает следующему боту.
Против вычисления движка проще всего поудалять с сайта лишние файлы (хотя бы) — ридми, лицензии. инсталл и пр.
Конечно, против вычисления движка желательно бы и пути разные поменять, но может пострадать функционал.
Против уязвимости — обновить всё (плагины, движок, темы) и вот Рест АПИ желательно прикрыть хотя бы в плане пользователей.
Ну и против брутфорса — ограничить перебор, я например использую плагин Limit Login Attempts Reloaded
А какие используете способы вы?
Последнее редактирование:
