WordPress Errores REST API que hace que su sitio sea inseguro

La API REST vino con grandes esperanzas para modernizar y mejorar el rendimiento de WordPress. Soy un gran admirador, pero si no comprende cómo funciona la API, puede generar errores que conducen a grandes agujeros de seguridad para su sitio, especialmente si no es un desarrollador. En esta publicación, quiero compartir algunos de los errores comunes que realizan los usuarios que no están familiarizados con la API REST WordPress, por lo que puede mantener su sitio seguro. API elemental Dear Watson Entonces, ¿cuál es la API de REST de WordPress? La API REST WordPress funciona como un puente que puede conectar una amplia variedad de aplicaciones a WordPress.
¿Suena complicado? Con el editor de Gutenberg, finalmente estamos comenzando a ver qué es posible cuando WordPress usa el resto para ejecutar junto con tecnologías más nuevas. La estructura JSON de la API es fácil de entender para las computadoras y las personas, lo que hace que sea más fácil de usar por medios programados. Y el estilo arquitectónico El resto significa que una amplia variedad de aplicaciones puede conectarse a él. Puede usar la API para hacerse cargo de los datos de su sitio para que pueda mostrarlos en otro lugar en un formato diferente. O puede recoger cosas y usar la API para controlar su sitio remoto enviando pedidos como creación, actualización y eliminación. Juntos, forman el acrónimo en bruto y puedes usarlos para lo siguiente:
Postes
Publicar reseñas
Categorías
Etiquetas
página
Comentario
Taxonomías
Medios de comunicación
usar
Tipos de publicaciones
Estatus de publicación
ajustes

Gutenberg utiliza la API REST WordPress para crear y actualizar publicaciones
Con tanta potencia, puede ver por qué la API de REST WordPress es una compra tan valiosa para los piratas informáticos. Con el acceso a la API de su sitio, pueden controlar casi todo el sitio remoto. Estas son las trampas en las que es más probable que los principiantes cometan un error y abran las exploits abiertamente: muestra información confidencial, porque no sé que la API descansa todos los datos por defecto
Uso de la autenticación básica en un sitio en vivo y la exposición involuntaria de sus credenciales de inicio de sesión
No se utiliza ninguna conexión cifrada para la autenticación
Estamos hablando de piratas informáticos que crean puertas traseras, pero en estos casos, se parece más a usted, porque el administrador lo dejó desbloqueado.
Pasemos por cada uno de ellos. Cómo crear suplementos de forminador personalizados utilizando la API de desarrolladores que muestra información confidencial por error como publicaciones y páginas son implícitamente visibles en un sitio web de WordPress, el resto WordPress también se activa de manera predeterminada. Puede ver los datos de publicaciones, páginas, categorías, etiquetas, medios de comunicación, etc. Para ver los datos JSON de su sitio de WordPress, ingrese la URL del sitio, seguido de WP-JSON/WP/V2/Publicaciones en el navegador. Se verá de esta manera https://tuts.wpmudev.host/wp-json/wp/v2/posts pero con la url en lugar de tuts.wpmudev.host. ¿Ves todos esos datos? Cualquiera puede verlo.
Hay herramientas como Postman, que hacen que esto sea más fácil de leer

Si usa publicaciones de WordPress para almacenar información confidencial, entonces estos datos se expondrán con la API. Esto podría suceder incluso si restringe el contenido a ciertos usuarios u oculta el contenido detrás de un muro de pago, por lo que es importante verificar qué es visible. Puede exponer a los datos de falta de atención que viola la política de privacidad de una empresa, HIPAA o GDPR. Como mencionamos brevemente, algunos temas, complementos e incluso Gutenberg usan la API REST WordPress, por lo que debe evitar los complementos que lo desactivan por completo. Definitivo para los 60 mejores recursos de seguridad para WordPress
¿Usar la autenticación básica en una autenticación del sitio en vivo tiene como objetivo responder a la pregunta si esta persona es auténtica? ¿Son los que dicen que lo son? Es una forma de confirmar la identidad. Verificación de nombres de usuario y contraseñas, autenticación con dos factores, entendió la idea. No todas las solicitudes para descansar la API de WordPress requieren autenticación. Haciéndose cargo de las publicaciones, por ejemplo, no. Eliminar a los usuarios, moderando comentarios, creando una nueva publicación.
Sin una autenticación adecuada, no puede eliminar publicaciones

Si usa la API REST WordPress, puede usar la autenticación de cookies que vienen con WordPress. Si usa la API REST WordPress de un cliente externo, como otro sitio de WordPress o una aplicación personalizada, deberá configurar otra forma de autenticación.

Tiene más opciones, puede usar Oautoth, JSON Web Tokens o Basic Auth. La autenticación básica es la que quiero recurrir, porque no es adecuada para cada situación. Para la autenticación básica, el nombre de usuario y la contraseña se envían junto con cada solicitud desde el encabezado, para que todos puedan ver. Si suena mal entendido, tienes la razón. Una guía completa de seguridad de contraseña de WordPress nunca debe usar la autenticación básica en un sitio en vivo y usted corre el riesgo de exponer las credenciales de conexión de su administrador. Debe usar la autenticación básica solo en un entorno protegido, como cuando soluciona problemas de un sitio local. No se envían aplicaciones por cifrado 2018 fue el año en que Google comenzó a informar todos los sitios que no tienen un certificado SSL. Asumiré que ya tienes uno, pero si no lo haces, ¿qué demonios estás esperando? Actualmente, puede obtener un certificado SSL gratuito a través de la mayoría de los hosts administrados. El alojamiento de WPMU Dev ofrece SSL gratuitos, incluso para varios sitios con muchos campos. Pruébalo gratis. Debido a que la API de REST WordPress actúa como un puente, desea proteger esa conexión de un ataque de tipo hombre en el medio. Para hacer esto, no solo su sitio de WordPress no debe tener un certificado SSL, sino también el cliente externo (si usa uno).
La Guía Suprema para WordPress Security Practice, debe proteger la conexión en ambos extremos para que toda su comunicación esté encriptada. Además, asegúrese de que toda su autenticación se envíe a través del protocolo HTTPS, para que cualquiera escuche, solo vea los datos cifrados. Esto es crítico porque el proceso de autenticación implica enviar y recibir el inicio de sesión. La tercera API ciega como vimos, la API REST WordPress está bastante fortificada siempre que la use en la forma en que fue diseñado. ¿Está asegurado WordPress? La API WP ha sido parte del núcleo de WordPress de la versión 4.4 y, aparte de una sola instancia, la API WP no ha tenido otros problemas de seguridad. Toco madera. Debo decir que cuando la API se agregó a la base, pensé que veríamos que muchas cosas interesantes están construidas con la API de WordPress. ¿Lo tienes? Todavía siento que es uno de los componentes de WordPress más subutilizados. Y espero que todos los que piensan que Gutenberg no satisface sus necesidades para tratar de crear su propio administrador. Un editor frontal final compatible con dispositivos móviles sería sorprendente;) dar otro aspecto de la API WP.
Incluso si no eres un desarrollador, ahora que sabes qué no hacer, te animo a que eches un vistazo al Manual WP WP WP y comiences a buscar. Y si rompe algo en su sitio, nuestra asistencia las 24 horas del día, los 7 días de la semana está aquí para ayudarlo. Si no es miembro, comience gratis.
Para ti, ¿tienes consejos para usar la API REST WordPress?
Etiquetas:
El resto
Seguridad
API REST de WordPress
API REST WP