WordPress security explained
WordPress security explained

Dlaczego ważne jest ograniczenie dostępu do API WP REST

Krytyczny błąd w WordPressie umożliwia hakerom łatwą edycję dowolnego postu na Twojej stronie.


English version: Why it’s important to restrict access to the WP REST API


Czy masz witrynę internetową opartą na WordPressie? Gratulacje! Oferujesz świetne narzędzie dla hakerów. Nazywa się to WordPress REST API i jest domyślnie włączone. REST API to technologia pozwalająca na zdalne wykonanie niemal każdej akcji czy zadań administracyjnych na stronie internetowej. Interfejs API WP REST jest domyślnie włączony począwszy od wersji WordPress 4.7.0.

Przejmij kontrolę nad REST API: Jak ograniczyć dostęp do API REST WordPress

API REST WordPressa nie jest obecnie dość dojrzałą technologią, a jego kod zawiera mnóstwo nieprzewidzianych błędów. Dlatego musisz ograniczyć dostęp do API REST za pomocą wtyczki zabezpieczającej, takiej jak WP Cerber. Proszę, potraktujcie to poważnie, chłopaki, bo mam dla was złe wieści. Niedawno, zaraz po wydaniu nowej wersji WordPressa 4.7, odkryto krytyczny błąd. Ten błąd umożliwia nieupoważnionym osobom edytowanie dowolnego wpisu w Twojej witrynie. Błąd został znaleziony przez Ryana Dewhursta i został naprawiony przez zespół WordPressa w WordPress 4.7.2.

Poprzednia wersja WordPressa 4.7.1 została ogłoszona jako wersja bezpieczeństwa i konserwacji i zawiera poprawki dla ośmiu błędów . Niestety błąd REST API nie został jeszcze naprawiony. To pozostawia bez ochrony miliony stron internetowych na całym świecie. Trudno w to uwierzyć, ale aktualizacja WordPressa na hostingach współdzielonych może zająć nawet kilka tygodni. Ile stron internetowych zostało zhakowanych i zainfekowanych?

W międzyczasie, ponieważ interfejs API REST został po cichu włączony dla każdej witryny, wykryto i naprawiono 20 (dwadzieścia) błędów. Bugów jest całkiem sporo, jeśli chodzi o technologię, która pozwala każdemu na wykonywanie zadań administracyjnych na stronie internetowej w trybie tła.

Wtyczka WP Cerber Security umożliwia całkowite ograniczenie lub zablokowanie dostępu do API REST. Nieważne, ile błędów ma REST API.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Gregory
Cancel Reply