Contenido
La versión más reciente de WordPress se envía con nuevas capacidades de API REST que los complementos, aplicaciones, servicios o el núcleo de WordPress pueden utilizar.
El equipo de desarrollo de WordPress impulsa nuevas funciones a WordPress todo el tiempo. Muchas de esas características mejoran significativamente la funcionalidad de WordPress.
Sin embargo, de vez en cuando, se agregan funciones que son problemáticas desde el punto de vista de un administrador o usuario. El principal problema con la mayor parte de estos cambios es que no se pueden desactivar fácilmente. He desactivado Emojis y XML-RPC aquí en este sitio, por ejemplo.
La nueva funcionalidad de la API REST, por ejemplo, puede ser utilizada por cualquiera para enumerar todas las cuentas de usuario de la instalación de WordPress.
Esto en sí mismo no es suficiente para obtener acceso, pero una vez que sepa más sobre un sitio, puede ejecutar ataques de fuerza bruta contra el sitio, intentar adivinar las contraseñas o utilizar la ingeniería social para obtener acceso al sitio.
Para ser justos, la nueva API no expone nada al público que no esté disponible en otro lugar del sitio.
Lista de todas las cuentas de usuario
Para enumerar todas las cuentas de usuario en un sitio que ejecuta WordPress 4.7 (o más nuevo presumiblemente), todo lo que tiene que hacer es agregar / wp-json / wp / v2 / usuarios a su nombre de dominio.
Puede configurar un filtro previamente en WordPress para bloquear el acceso a la información. Este filtro parece haber sido eliminado en la versión 4.7.
La única opción que tiene para evitar que la información se revele a nadie es instalar un complemento que proteja el sitio de eso.
WordPress: bloquee el acceso anónimo a la API REST
Un complemento bastante simple pero efectivo es Deshabilitar la API REST. Todo lo que hace es devolver un mensaje «no no autorizado» a las solicitudes anónimas para mostrar datos de la API REST.
El complemento devuelve un mensaje de error para cualquier solicitud que no haya sido realizada por un usuario registrado en el sitio en particular.
También hay Wordfence, un complemento que agrega opciones de seguridad y protección a los sitios de WordPress.
Palabras de cierre
Los datos que la API REST pone a disposición de solicitudes anónimas ya están disponibles en otros lugares de la parte pública de WordPress. La principal ventaja que obtienen los atacantes es que enumera los datos en un formato agradable que les ahorra tiempo, ya que ya no tienen que rastrear varias partes del sitio para recuperar la información. (vía Ciudad Nacida)