Poradnik
Wyłączenie dostępu do REST API i blokowanie enumeracji - zabezpieczenie WordPress - Wersja do druku+- Praca w domu - Dodatkowa Praca - Zarabianie przez Internet (https://zarabiam.com)
+-- Dział: Zarządzanie stronami Internetowymi (/Forum-Zarzadzanie-stronami-Internetowymi-358)
+--- Dział: Wordpress (/Forum-Wordpress-360)
+--- Wątek:
Poradnik
Wyłączenie dostępu do REST API i blokowanie enumeracji - zabezpieczenie WordPress (/Temat-Wylaczenie-dostepu-do-REST-API-i-blokowanie-enumeracji-zabezpieczenie-WordPress-170319)Strony: 1 2
RE: Wyłączenie dostępu do REST API i blokowanie enumeracji - zabezpieczenie WordPress - rachman - 10-01-2021 23:41
Czyli jeśli mam już htaccess to aktualizacja CMS ani zapisanie "bezpośrednich" linków nie nadpisze go. To dobrze wiedzieć bo różnie to formułowano na różnych stronach i nie byłem pewien
Wtyczkę może kiedyś skrobnę, ale mało WP się bawię więc stoi daleko w kolejce
bo mam parę projektów. Chyba, że znów się WP przyklei to może pomysł przeskoczy z końca długiej listy ToDo Tak, jak np. SEO itd. to można twórcom darować - wtyczki inni tworzą więc da się toto zakleić, ale zostawianie tylu furtek których nawet wtyczki nieraz nie są w stanie zakleić a "laicy" nawet nie pomyślą o czymś takim by zabezpieczyć - a WP jest dość starym systemem - to to już zrozumieć ciężko. Niektóre rzeczy można w dość prosty sposób zabezpieczyć przecież jak widać. Mieć nadzieję, że kiedyś to ogarną bo pół netu kiedyś padnie jak się jakiś szpeci uweźmie
Przy okazji - może wiesz... Znajomy ma filmiki. W blogu tworzy wpisy i wkleja link do posta z grupy na Facebook, WP wygrzebuje sobie link do filmu sam i includuje go.
Powstaje u mnie problem Same Origin i ja widzę tylko linki do wpisu na grupie. U niego niby widać filmy (inna przeglądarka). Jak to ugryźć by nikt nie dostał jak ja samego linku a załadowany film? Już próbowałem wszystkich metod zamieszczania filmów, ale jedne widzę inne nie. Zmieniam przeglądarki itd. Miałeś już coś takiego?
RE: Wyłączenie dostępu do REST API i blokowanie enumeracji - zabezpieczenie WordPress - Harry. - 11-01-2021 18:43
Ogólnie WordPress jest zabezpieczony w rożnych miejscach. Fakt, jest kilka rzeczy, o których twórcy zapomnieli lub uzupełniają po czasie (jeśli w ogóle już to robią), np. w starszych wersjach WordPress zdradzał aktualnie używaną wersję. Wystarczyło wczytać plik readme, np.:
- [*adres-twojej-strony.pl/readme.html
Po czym ukazywała się używana wersja WordPres
Co z tego, że plik readme nie pokazuje używanej wersji skoro wystarczy zaglądnąć do źródła (CTRL + U) aby zobaczyć jaka jest aktualnie zainstalowana wersja, np.:- <meta name="generator" content="WordPress 5.6" />
W starszych wersjach WordPress wpisując do paska adresu adres-twojej-strony.pl/wp-content/ można było przeglądać sobie pliki. Obecnie - jak wspomniałem wcześniej - jest plik index.php, a w środku znajdziesz
Cytat:<?phpTo są zmiany kosmetyczne i serio uważam, że twórcy WP powinni zadbać bardziej o bezpieczeństwo, a później rozwijać funkcjonalności i dodawać bajery typu nowy edytor Gutenberg. Znalazłem nawet stronę, która nie jest aktualizowana od 16 lat... rozumiesz? Wciąż jest zainstalowana wersja 1.2 wordpressa, wyszła 22 maja w 2004 roku (16 lat temu!) zgodnie ze stroną: https://wordpress.org/news/2004/05/heres-the-beef/
// Silence is golden.
Osoby takie jak ty czy ja sobie zabezpieczą ale jest zdecydowanie więcej osób, które nawet nie wiedzą, że pasuje zabezpieczyć stronę.
W zdecydowanej większości przypadków, to wina twórców wtyczek, że osoby nieuprawnione mają dostęp. Im bardziej zaawansowana wtyczka, tym większe prawdopodobieństwo skutecznego ataku na WP. Za kolejny przykład niech posłuży plugin Contact Form 7 (5 milionów instalacji!).
Błąd w pluginie umożliwiał nieograniczone przesyłanie plików i ataki z podwójnym rozszerzeniem pliku. Ku ścisłości przy pomocy pliku z podwójnym rozszerzeniem, np. PLIK.PHP .JPG (przerwa jest zrobiona 'tabulatorem'. Taki przycisk TAB na klawiaturze).
- Formularz usuwa rozszerzenie .JPG po czym na serwerze znajduje się PLIK.PHP ze złośliwym kodem. Wgrywający może nawet uzyskać dostęp do serwera.
Oj... trochę mnie poniosło.(10-01-2021 23:41)rachman napisał(a): Przy okazji - może wiesz... Znajomy ma filmiki. W blogu tworzy wpisy i wkleja link do posta z grupy na Facebook, WP wygrzebuje sobie link do filmu sam i includuje go.Chciałbym pomóc ale nie wiem, nie przywiązuję uwagi do takich rzeczy. Jak rzuci mi się coś w oczy, to niezwłocznie dam znać!
Powstaje u mnie problem Same Origin i ja widzę tylko linki do wpisu na grupie. U niego niby widać filmy (inna przeglądarka). Jak to ugryźć by nikt nie dostał jak ja samego linku a załadowany film? Już próbowałem wszystkich metod zamieszczania filmów, ale jedne widzę inne nie. Zmieniam przeglądarki itd. Miałeś już coś takiego?
Pozdrawiam
RE: Wyłączenie dostępu do REST API i blokowanie enumeracji - zabezpieczenie WordPress - rachman - 11-01-2021 19:04
Też nie zwracałem uwagi na zjawisko same origin dopóty doświadczyłem
i tak podsumowując właśnie można rozmowę o bezpieczeństwie 
Samą wersję skryptu można uzyskać na kilka sposobów niestety a wiele osób używa wtyczek nadmiarowo dla wygody... prostota i rozszerzalność systemu stała się jego przekleństwem po części
Kilka procent ataków jest z palca - reszta to boty, a to powinno też twórcom dać "kopa" do działania i nie zostawianie ludzi z wtyczkami które nie mają w wielu formach ataków najmniejszych możliwości by cokolwiek złagodzić... a czasem wręcz same dobijają stronę.