Ko sve može da koristi novi rest API na WP 4.7 i kako da sprečimo zloupotrebe ? - NEW MOMENT DIGITAL
16730
post-template-default,single,single-post,postid-16730,single-format-standard,ajax_fade,page_not_loaded,,qode-theme-ver-1.1.2,wpb-js-composer js-comp-ver-4.11.1,vc_responsive
 

Ko sve može da koristi novi rest API na WP 4.7 i kako da sprečimo zloupotrebe ?

20 Dec Ko sve može da koristi novi rest API na WP 4.7 i kako da sprečimo zloupotrebe ?

Novi vetar u leđa za WordPress,Verzija 4.7, koji nosi ime “Vaughan” lansiran je pre 13 dana, 6. decembra. Ali, nova, napredna rešenja mogu doneti i nove glavobolje korisnicima WP-a ukoliko nisu oprezni.

“Vaughan”uključuje REST API koji će biti korišćen u mnogim WordPress pluginovima (dodacima), mobilnim aplikacijama, desktop aplikacijama, Cloud servisima. Svaki sajt koji se unapredi na WordPress 4.7 , podrazumevano p će posedovati REST API. Ovaj API je moćan i dozvoljava WordPressu da od jednostavnog web  sistema za upravljanje sadržajem postane aplikaciono okruženje. To znači da će programeri praviti aplikacije koje će raditi na različitim platformama i komunicirati sa web sajtovima.

Tako ćete u budućnosti imati mogućnost da objavite sadržaj i da upravljate sajtom sa Cloud-a, mobilnog uređaja, tableta ili desktop računara. Plugin programeri će moći da stvore nove vrste ekstenzija koje će poboljšati WordPress doživljaj.  Sve ove aplikacije će koristiti novi WordPress REST API, koji je pušten u WordPress 4.7 verziji.

API  dozvoljava anonimni pristup podacima

Kako izreka kaže, uz veliku moć ide i velika odgovornost. Delovi novog API-a su dostupni svakome na internetu. Nije potrebna prijava na WordPress ili vebsajt kako bi se koristio API. Sa lansiranjem API, očekujemo da će ga programeri prihvatiti, ali i  strahujemo da će hakeri pronaći način kako da ga iskoriste – zloupotrebe.

Novi WordPress REST API dozvoljava anoniman pristup. Jedna od funkcija je  da omogućava da bilo ko može da izlista korisnikeWordPress sajta bez registracije ili otvorenog naloga naloga.

Ovo može biti iskorišćeno od strane BOT-ova koji lansiraju učestale napade na šifre korisnika na WordPress sajtovima. Mogu koristiti ovaj API kako bi izlistali imena korisnika bilo kog korisnika koji je  objavio post na WordPresssajtu. Lista korisnika prikazana kroz ovaj API skoro uvek uključuje i korisnike sa admin pristupom.

Da bi videli WP REST API  funkciju u akciji, samo posetite sajt sa instaliranimWordPress 4.7 i ukucajte adresu: example.com/wp-json/wp/v2/users. Ovo će izlistati sve korisnike koji su objavili post. To uključuje korisnikov ID, username, gravatar hash i  veb adresu. Dosta poznatih sajtova su sa unapređenim WordPress 4.7,  došli u situaciju da bilo ko može da izlista sve korisnike koji su na ovim sajtovima objavili postove, samo uz posetu adrese koju sam vam napisao. Opasno? Možda.

 

Rešenje – držati loše momke podalje i puštati dobre momke unutra

Umesto da onemogući ceo REST JSON API, što su neki bezbednosni proizvođači već uradili, traži se rešenje koje će da otklone rizike i jedan od njih je Wordfence, svestan koliko je moćan i koristan novi programski interfejs. Očekujemo da bude naširoko prihvaćen i značajno poveća moć WordPress-a.

Kako bi ublažili sigurnosnu pretnju po vaš sajt, omogućite novu funkciju u Wordfence plugin-u koja će jednostavno onemogućiti anonimnim korisnicima da preuzmu listu korisnika i njihovih korisničkih imena.

Wordfence ne onemogućuje funkcionalnost JSON API. Autentifikovani korisnici koji koriste API će biti u mogućnosti da izlistaju svoje korisničke informacije. Autentifikovani korisnici sa list_users dozvolom će moći da izlistaju sve korisnike.

Ako ste korisnik jedne nove WP instalacije, korišćenjem Wordfence zaštite za WP sajtove uklonićete svaku mogućnost da REST API bude u rukama loših momaka. Pre prelaska na novi WP 4.7 obavezno napravite kopiju stare vezije sajta, proverite kompatibilnost plugin-ova kao i teme koja pokreće vaš sajt.

 



Show Buttons
Hide Buttons