A WordPress 4.7 és 4.7.1-es verziójában található súlyos sérülékenység egy megújított funkcióra, a REST API-ra vezethető vissza (részletek, konkrét biztonsági kockázat a fenti cikkben). Ezért (is) érdemes letiltani ezt a funkciót a weboldalunkon, hasonlóan az xmlrpc.php fájlhoz.
Mi az a REST API?
Fejlesztői eszköz, amelynek az elődje a WordPress 4.4 óta a rendszer része. Ezt a funkciót főleg fejlesztők szokták használni (segítségével a megszokottnál könnyebben lehet adatokat lekérni a rendszerből), de sok weboldalon kihasználatlan marad, ezért felesleges az engedélyezése.
A DDoS támadások kedvelt kiinduló célpontja valamelyik REST API által elérhető url.
Adatlistázás példa, ha nincs tiltva a REST API:
A weboldalunk címe mögé ezt: /wp-json/wp/v2/users, vagy ezt: wp-json/wp/v2/users?page=1&per_page=10 írva ki lehet listázni a weboldal felhasználóit.
Továbbiak:
- /wp-json
- /wp-json/wp/v2/posts
- /wp-json/wp/v2/pages
- /wp-json/wp/v2/media
- /wp-json/wp/v2/types
- /wp-json/wp/v2/statuses
- /wp-json/wp/v2/taxonomies
- /wp-json/wp/v2/categories
- /wp-json/wp/v2/tags
- /wp-json/wp/v2/settings
A REST API funkció tiltása
Fel kell telepíteni a Disable REST API bővítményt, majd aktiválni kell. Nincs semmilyen további teendő, a funkció (tiltás) működik is. Ha pl. beírod a webcímed mögé a /wp-json kiegészítést, már nem lesznek elérhetőek az adatok.
Figyelmeztetés!
Előfordulhat, hogy a Contact Form 7 bővítmény nem működik (nem mennek el a küldendő levelek) a Disable REST API bővítménnyel együtt! Ebben az esetben az egyik bővítmény használatáról le kell mondani. Tipp: Én a Contact Form 7-et mindenképpen használnám, és a cikkben bemutatott Disable REST API-t törölném.
