Sitenizi güvensiz kılan WordPress Rest API hatası

REST API, WordPress performansını modernize etmek ve geliştirmek için büyük umutlarla geliyor. Ben büyük bir hayranıyım, ancak yangının nasıl çalıştığını anlamıyorsanız, özellikle geliştirici değilseniz, siteniz için büyük bir güvenlik deliği ile biten hatalara neden olabilir. Bu yazıda, sitenizin güvenliğini koruyabilmeniz için WordPress Rest API’sına alışık olmayan kullanıcılar tarafından yapılan bazı yaygın hataları paylaşmak istiyorum. Sevgili Watson Basic API, WordPress API Dinlenme nedir? WordPress REST API, çeşitli uygulamaları WordPress’e bağlayabilen bir köprü gibi işlev görür.
Kulağa karmaşık mı? Gutenberg editörü ile, WordPress’in yeni teknolojiyle yürümek için bir restoran kullandığında nihayet büyük bir ölçekte neler olabileceğini görmeye başladık. API JSON’un yapısı, bilgisayarlar ve insanlar tarafından kolayca anlaşılır ve programlanmış yoluyla kullanılmasını kolaylaştırır. Ve dinlendirici mimari stil, çeşitli uygulamaların kendisine bağlanabileceği anlamına gelir. Site verilerinizi almak için API kullanabilirsiniz, böylece farklı formatlarda başka yerlerde görüntülenebilirsiniz. Veya Create, Update ve Sil gibi komutları göndererek sitenizi uzaktan kontrol etmek için artırabilir ve FIRT kullanabilirsiniz. Bu, CRUD kısaltmasını oluşturur ve aşağıdaki gibi kullanabilirsiniz:
Gönderiler
Revizyon görevi
Kategori
Etiket
sayfa
Yorum
Taksonomi
Medya
Kullanıcı
Gönderi türü
Durum Sonrası
Ayarlama

Gutenberg, yayınları oluşturmak ve güncellemek için bir WordPress Rest API kullanıyor
Çok fazla güçle, WordPress API REST’in neden bilgisayar korsanları için çok değerli bir satın alma olduğunu görebilirsiniz. Sitenizin API’sına erişim ile tüm sitenizi uzaktan kontrol edebilirler. Bu, yeni başlayanların hatalar ve bilinçsiz olarak açık sömürü yapacağı bir tuzaktır: hassas bilgileri görüntüleyin, çünkü geri kalan yangının varsayılan olarak tüm verileri görüntülendiğini fark etmiyorlar.
Sitede temel kimlik doğrulamasını doğrudan ve yanlışlıkla oturum açma kimlik bilgilerini kullanmak
Kimlik doğrulama için şifreli bağlantılar kullanmayın
Arka kapıyı yapan bilgisayar korsanları hakkında konuşuyoruz, ancak bu durumda, bu sizin gibidir çünkü yönetici kilidini açmasına izin verir.
Birbirimize geçelim. WordPress sitesinde varsayılan olarak görülen yayınlar ve sayfalarla aynı hatalar, WordPress API REST de varsayılan olarak etkinleştirildiği için, bir geliştirici yangını kullanarak özel bir eklenti forminatörü nasıl yapılır. Gönderiler, sayfalar, kategoriler, etiketler, medya vb. İçin verileri görebilirsiniz. WordPress sitesi JSON verilerinizi görüntülemek için, sitenizin URL’sini, ardından tarayıcınızdaki WP-JSON/WP/V2/yayınları yazın. Bu, https://tuts.wpmudev.host/wp-json/wp/v2/posts gibi görünecektir, ancak URL’nizle, TUTS.WPMUV.HOST değil. Tüm verileri görüyor musunuz? Herkes görebilir.
Posterler gibi, okumayı kolaylaştıran araçlar var

Hassas bilgileri depolamak için WordPress postanızı kullanırsanız, bu veriler yangına maruz kalır. Bu, belirli kullanıcılar için içeriği sınırlasanız bile olabilir veya ödeme duvarının arkasındaki içeriği gizlemeniz bile olabilir, bu nedenle görülenleri görmeyi kontrol etmeniz önemlidir. Şirket gizlilik politikalarını, HIPAA veya GDPR’yi ihlal eden verileri yanlışlıkla ortaya çıkarabilirsiniz. Kısaca bahsettiğim gibi, birkaç tema, eklenti ve hatta Gutenberg WordPress dinlenmesini kullanıyor, bu nedenle onu tamamen devre dışı bırakan eklentiden kaçınmak istiyorsunuz.
Doğrudan site kimlik doğrulamasında temel kimlik doğrulaması kullanmak, bu kişinin otantik olup olmadığı sorusunu cevaplamayı amaçlıyor mu? Dedikleri gibi mi? Bu kimliği onaylamanın bir yoludur. Kullanıcı adlarını ve şifreleri doğrulamak, iki faktör kimlik doğrulama, fikri anlarsınız. WordPress Rest API için tüm talepler kimlik doğrulaması gerektirmez. Örneğin, bir yazı alın, hayır. Kullanıcıları sil, ılımlı yorumlar, yeni bir gönderi oluşturun.
Doğru kimlik doğrulama olmadan, yayınları silemezsiniz

WordPress Rest API kullanıyorsanız, WordPress ile birlikte bulunan çerezlerin kimlik doğrulamasını destekleyebilirsiniz. Farklı WordPress siteleri veya özel uygulamalar gibi harici istemcilerden WordPress REST API’sını kullanıyorsanız, farklı bir kimlik doğrulama formu hazırlamanız gerekir.

Birkaç seçeneğiniz var, OAuth, JSON Web jetonu veya Basic Auth kullanabilirsiniz. Temel kimlik doğrulama, her durum için uygun olmadığı için dikkat etmenizi istediğim şeydir. Temel kimlik doğrulama için, kullanıcı adınız ve şifreniz, herkes tarafından görülmesi için başlıktaki her istekle birlikte gönderilir. Kulağa akılsızca geliyorsa, haklısın. WordPress Parola Güvenliği için Komple Kılavuz Kılavuzu Doğrudan sitelerde temel kimlik doğrulama kullanmamalı ve yönetici giriş bilgilerinizi ortaya çıkarmak için risk kullanmamalısınız. Temel kimlik doğrulamasını yalnızca yerel siteler sorunlarını çözdüğünüz gibi korumalı bir ortamda kullanabilirsiniz. 2018 şifrelemesine kadar istek göndermemek, Google’ın SSL sertifikası olmayan tüm siteleri işaretlemeye başladığı yıldır. Sadece zaten sahip olduğunuzu varsayacağım, ama değilse, ne bekliyorsunuz?!? Şu anda, yönetilen ana bilgisayarların çoğu aracılığıyla ücretsiz olarak bir SSL sertifikası alabilirsiniz. WPMU Dev’e ev sahipliği yapmak, birçok alanlı çoklu site için bile ücretsiz SSL sunar. Ücretsiz deneyin. WordPress Rest API bir köprü görevi gördüğü için, bağlantıyı ortadaki adam saldırısından korumak istersiniz. Bunu yapmak için, yalnızca WordPress sitesi bir SSL sertifikası değil, aynı zamanda harici istemciniz de olmalıdır (eğer kullanıyorsanız).
WordPress güvenliği için ana kılavuz temel olarak, tüm iletişiminizin şifrelenmesi için bağlantıyı her iki uçtan da korumalısınız. Ayrıca, tüm kimlik doğrulamanızın HTTPS protokolü aracılığıyla gönderildiğinden emin olun, böylece dinleyen herkes yalnızca şifreli verileri görecektir. Bu kritiktir, çünkü kimlik doğrulama işlemi giriş bilgileri gönderilmesini ve almayı içerir. Üçüncü ateş körü gördüğümüz gibi, WordPress API dinlenmesi, tasarıma göre kullandığınız sürece güçlendirilmek için yeterlidir. WordPress güvenli mi? WP REST API, 4.4 sürümünden beri WordPress Core’un bir parçası olmuştur ve bir örnek dışında, WP REST API’sının başka güvenlik sorunu yoktur. Tanrı yasaklıyor. Söylemeliyim ki, çekirdeğe ateş eklendiğinde, bence WordPress ateşiyle inşa edilmiş daha havalı şeyler göreceğiz. Yapıyor musun? Hala bunun en az kullanılan WordPress bileşenlerinden biri olduğunu hissediyorum. Ve umarım Gutenberg’in kendi yöneticilerini yapmaya çalışırken ihtiyaçlarını karşılamadığını düşünen herkes. Hücresel ön uç düzenleyici olağanüstü olacaktır;) Başka bir WP Rest API’sını verin. Bir geliştirici olmasanız bile, şimdi ne yapılmaması gerektiğini biliyorsunuz, WP REST API el kitabını görmenizi ve karıştırmaya başlamanızı öneririm. Ve sitenizdeki herhangi bir şeye zarar verirseniz, 7/24 desteğimiz yardımcı olmaya hazırdır. Eğer üye değilseniz, ücretsiz başlayın.
Sizin için WordPress REST API’sını kullanmak için ipuçlarınız var mı?
Etiket:
Yangın
güvenlik
WordPress Fire Rest
WP API Dinlenme

admin

WordPress vs. Drupal – 2021’de hangisi daha iyi?(Lehte ve aleyhte olanlar)

WordPress vs. Drupal – 2021’de hangisi daha iyi?(Lehte ve aleyhte olanlar)

WordPress etki alanınızı nasıl değiştirirsiniz (SEO avantajlarını korumak)

WordPress etki alanınızı nasıl değiştirirsiniz (SEO avantajlarını korumak)

WordPress içeriğinin erozyonu (kavga mı yoksa görmezden geliyor mu?)

WordPress içeriğinin erozyonu (kavga mı yoksa görmezden geliyor mu?)

Wix vs WordPress: Hangisini bir web sitesi oluşturmayı seçmelisiniz?

Wix vs WordPress: Hangisini bir web sitesi oluşturmayı seçmelisiniz?

WordPress Performans Sorunlarına Bağlı Şeylerin Kontrol Listesi

WordPress Performans Sorunlarına Bağlı Şeylerin Kontrol Listesi

Popüler konuları tartışmak için 9 En İyi WordPress Forum eklentisi

Popüler konuları tartışmak için 9 En İyi WordPress Forum eklentisi

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir