WordPress-Hack: das Abfragen der eingerichteten Benutzer verhindern
Dienstag, 18.6.2019, 23:11 > daMaxWordPress hat die ungute Eigenschaft, unter der URL http://[Hier WordPress Blog eingeben]/wp-json/wp/v2/users munter die eingerichteten User auszuplaudern. Das führt dazu, dass quasi jede WordPress-Installation unter automatisiertem Dauerbeschuss steht. Angeblich wurde dieser Mist schon mit Version 4.7.1 behoben, aber Pustekuchen.
Also heißt es mal wieder, selbst Hand anzulegen.
Man installiert sich wahlweise ein Plugin, das schon jetzt bekannte Unverträglichkeiten mit anderen Plugins hat, oder klatscht sich folgende paar Zeilen in die functions.php
seines Themes:
add_filter( 'rest_endpoints', function( $endpoints ){
if ( isset( $endpoints['/wp/v2/users'] ) ) {
unset( $endpoints['/wp/v2/users'] );
}
if ( isset( $endpoints['/wp/v2/users/(?P[\d]+)'] ) ) {
unset( $endpoints['/wp/v2/users/(?P[\d]+)'] );
}
return $endpoints;
});
You can refer to this link on gitHub repo of WP_REST_API for some more details on same.
::UPDATE::
To remove all default REST API end-points you have to add following code:
<?php remove_action('rest_api_init', 'create_initial_rest_routes', 99); ?>
Danke für den Hinweis! Das Plugin scheint jetzt wieder aktuell zu sein…