IT rekvalifikace s garancí práce. Seniorní programátoři vydělávají až 160 000 Kč/měsíc a rekvalifikace je prvním krokem. Zjisti, jak na to!
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Diskusia – 7. diel - Bezpečnosť vo WordPress

Späť

Upozorňujeme, že diskusie pod našimi online kurzami sú nemoderované a primárne slúžia na získavanie spätnej väzby pre budúce vylepšenie kurzov. Pre študentov našich rekvalifikačných kurzov ponúkame možnosť priameho kontaktu s lektormi a študijným referentom pre osobné konzultácie a podporu v rámci ich štúdia. Toto je exkluzívna služba, ktorá zaisťuje kvalitnú a cielenú pomoc v prípade akýchkoľvek otázok alebo projektov.

Komentáre
Avatar
davmysak
Člen
Avatar
davmysak:3.4.2020 8:27

Čau, nějak ti zde uniklo, že získat všechna uživatelská jména z Wordpress lze přes jeho REST API do 5 vteřin, a to ve výchozím nastavení. Je to normální chování, a Wordpress vývojáři se k tomu staví tak, že pokud máte dostatečně dobré heslo, nastavené omezení pokusů o přihlášení, či možnost loginu jen z definovaných IP, ani nedoporučují tento endopoint, který vrací uživatelská jména, zakazovat (nicméně zakázat to jde).

Reference k API https://developer.wordpress.org/…rence/users/

Přístup k uživatelských jménům lze pak přes tento endpoint exapmle.com/wp-json/wp/v2/users

Jak postupovat při implementaci zákazu (zda je vůbec potřebný, já toto chování nevypínám, často přes REST k těmto údajům přistupuji přes public requesty, a uživatelům zakazuji slabá hesla).

https://maintainsupportprotect.com/…rdpress-4-7/
nebo
https://www.wordfence.com/…-api-wp-4-7/

V praxi pak https://sklepnavyhlidce.cz/…/wp/v2/users resp. https://sklepnavyhlidce.cz/…p/v2/users/1

Ale jak jsem napsal, sami vývojáři WP doporučují nechávat toto chování ve výchozím nastavení, samozřejmě za předpokladu, že dodržíte základní pravidla pro složitost hesla a nastavíte limit pokusů o přístupy.

 
Odpovedať
3.4.2020 8:27
Avatar
Pavel Mareš
Tvůrce
Avatar
Odpovedá na davmysak
Pavel Mareš:3.4.2020 8:58

Neuniklo, záměrně jsem vynechal, protože to pro bezpečnost WordPress webů pro 99.9 % uživatelů nemá význam řešit.

Samozřejmě díky za doplnění, ale takhle bych mohl vypsat dalších 10 cest jak získat seznamy uživatelů nebo jak na exploit loginu a registrace.

Samotné API by pak vyžadovalo vlastní článek, protože je to z mého pohledu zajímavý téma. Ale tyhle články mají nějaké zaměření a nerad bych sem tahal informace, který většina uživatelů nevyužije.

Odpovedať
3.4.2020 8:58
Však ono půjde ...
Avatar
sahlepik
Člen
Avatar
sahlepik:13.5.2021 18:29

Já bych ještě doplnil, že pro bezpečnost webu je docela důležité pravidelně zálohovat a třeba i do cloudu. Používám plugin Duplicator nebo UpdraftPlus - Backup/Restore. Pokud má web více uživatelů, je potřeba správně nastavit a rozdělit jejich role (admin, redaktor, user,...). Já pro větší bezpečnost používám i možnost dvoufaktorové autentizace prostřednictvím mobilní aplikace Google Authenticator.

 
Odpovedať
13.5.2021 18:29
Robíme čo je v našich silách, aby bola tunajšia diskusia čo najkvalitnejšia. Preto do nej tiež môžu prispievať len registrovaní členovia. Pre zapojenie sa do diskusie sa zaloguj. Ak ešte nemáš účet, zaregistruj sa, je to zadarmo.

Zatiaľ nikto nevložil komentár - buď prvý!