WordPress security explained
WordPress security explained

Dlatego ważne jest, aby ograniczyć dostęp do WP REST API

Krytyczny błąd w WordPressie pozwala hakerom łatwo edytować dowolny post na twojej stronie.


English version: Why it’s important to restrict access to the WP REST API


Czy masz stronę internetową opartą na WordPressie? Gratulacje! Oferujesz świetne narzędzie dla hakerów. Nazywa się WordPress REST API i jest domyślnie włączony. REST API to technologia umożliwiająca zdalne wykonywanie niemal wszystkich czynności lub zadań administracyjnych na stronie internetowej. Interfejs API REST WP jest domyślnie włączony, począwszy od wersji WordPress 4.7.0.

Przejmij kontrolę nad REST API: Jak ograniczyć dostęp do REST API WordPress

API REST WordPress nie jest obecnie dość dojrzałą technologią, a jego kod zawiera mnóstwo nieprzewidzianych błędów. Dlatego musisz ograniczyć dostęp do REST API za pomocą wtyczki bezpieczeństwa, takiej jak WP Cerber. Proszę, potraktujcie to poważnie, chłopaki, bo mam dla was złe wieści. Niedawno, zaraz po wydaniu nowej wersji WordPress 4.7, znaleziono krytyczny błąd. Ten błąd pozwala nieautoryzowanym użytkownikom edytować dowolny post na Twojej stronie. Błąd został znaleziony przez Ryana Dewhursta i został naprawiony przez zespół WordPressa w WordPress 4.7.2.

Poprzednia wersja WordPress 4.7.1 została ogłoszona jako wersja Security and Maintenance Release i zawiera poprawki dla ośmiu błędów . Niestety, błąd REST API nie został jeszcze naprawiony. To pozostawia niezabezpieczone miliony stron internetowych na całym świecie. Trudno uwierzyć, ale aktualizacja WordPressa na współdzielonych hostach może potrwać nawet kilka tygodni. Ile stron internetowych zostało zhakowanych i zainfekowanych?

W międzyczasie, ponieważ REST API został cicho włączony dla każdej strony internetowej, odkryto i naprawiono 20 (dwadzieścia) błędów. Jest sporo błędów w technologii, która pozwala każdemu wykonywać zadania administracyjne na stronie internetowej w trybie tła.

Wtyczka WP Cerber Security pozwala całkowicie ograniczyć lub zablokować dostęp do API REST. Nie ważne ile błędów ma REST API.

Last posts from WordPress security blog


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments