WordPress-Hack: das Abfragen der eingerichteten Benutzer verhindern

Dienstag, 18.6.2019, 23:11 > daMax

WordPress hat die ungute Eigenschaft, unter der URL http://[Hier WordPress Blog eingeben]/wp-json/wp/v2/users munter die eingerichteten User auszuplaudern. Das führt dazu, dass quasi jede WordPress-Installation unter automatisiertem Dauerbeschuss steht. Angeblich wurde dieser Mist schon mit Version 4.7.1 behoben, aber Pustekuchen.

Also heißt es mal wieder, selbst Hand anzulegen.

Man installiert sich wahlweise ein Plugin, das schon jetzt bekannte Unverträglichkeiten mit anderen Plugins hat, oder klatscht sich folgende paar Zeilen in die functions.php seines Themes:

add_filter( 'rest_endpoints', function( $endpoints ){ if ( isset( $endpoints['/wp/v2/users'] ) ) { unset( $endpoints['/wp/v2/users'] ); } if ( isset( $endpoints['/wp/v2/users/(?P[\d]+)'] ) ) { unset( $endpoints['/wp/v2/users/(?P[\d]+)'] ); } return $endpoints; });

You can refer to this link on gitHub repo of WP_REST_API for some more details on same.

::UPDATE::

To remove all default REST API end-points you have to add following code:

<?php remove_action('rest_api_init', 'create_initial_rest_routes', 99); ?>

Danke, StackExchange

| Abgelegt unter 1337, Coding
The views expressed by the author are personal.

Artikel aus der gleichen Kategorie:
PrivacyTutor zum Thema "Asymmetrische Verschlüsselung" «
37C3 to daMax, Teil 1 «
Wie man einen einzelnen Lesezeichenordner aus Chrome exportiert «

Eine Meinung zu “WordPress-Hack: das Abfragen der eingerichteten Benutzer verhindern”

Chris meinte:

13.1.2020 um 17:59 Uhr

Danke für den Hinweis! Das Plugin scheint jetzt wieder aktuell zu sein…

Antworten

Antworten

Das Kleingedruckte:
Halte Dich bitte an die Spielregeln. Welche Emoticons du verwenden kannst, steht hier.

Um hier kommentieren zu können, musst Du einen beliebigen Namen sowie eine beliebige E-Mail-Adresse angeben. Diese Daten werden dann erstmal zur Spamerkennung in die USA geschickt, dort und danach auch auf meinem Server gespeichert. Mit dem Absenden Deines Kommentars erklärst Du Dich damit und den hier geltenden Datenschutzbestimmungen (insbesondere dem Abschnitt Kommentarfunktion) einverstanden. Wenn Du damit nicht einverstanden bist, lass das Kommentieren bleiben, aber dann deinstalliere bitte auch sofort WhatsApp und verabschiede Dich von Facebook. Kommentarabonnements werden automatisch nach 3 Monaten gelöscht.

Wer HTML kann, ist klar im Vorteil. Diese Tags sind erlaubt:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Bei der Menge an Spam-Kommentaren passiert es hin und wieder, dass ein Kommentar vom Spamfilter gefressen wird. Bitte sei mir nicht böse aber ich habe weder Zeit noch Lust, solch verloren gegangenen Kommentaren hinterher zu forschen. Wenn das öfters passiert, schreib' mir 'ne Mail damit ich dich whitelisten kann.

FunThomas on Verzweiflungswahlkampf: “Ich finde ja „Gesunder Menschenverstand“ in Zeiten von Kreuz- und Querdenkern noch – öh – merkwürdiger. Vom grammatikalischen Fauxpax „Alle…”

T;ll on Überskillter Drummer: “Ich folge dem Typen durch Zufall schon ne Weile auf Youtube. Der Hype ist in jedem Fall real. Der hat…”

Olaf on Überskillter Drummer: “Einfach nur geil der Typ, oder etwa nicht? ;o)”

Joachim on Weibliche Cyborgs, geträumt von Wombo: “Richtig, das wird (und darf) Max mir sagen. Aber, ich muss gar nicht Recht haben. Wir haben Zeit. Es ist…”

Siewurdengelesen on Weibliche Cyborgs, geträumt von Wombo: “@Joachim: „Ansonsten, ich bin da nicht immer deiner Meinung und denke, ich könnte Dinge widerlegen. Würde dir das nutzen? Denn…”

Joachim on Weibliche Cyborgs, geträumt von Wombo: “@Siewurdengelesen: Es gäbe hier viel zu sagen. Würde ich vielleicht gerne, doch dann sagt Max wieder, ich solle einen eigenen…”

Siewurdengelesen on Weibliche Cyborgs, geträumt von Wombo: “@Joachim „Zwischen Eliza und einem LLM ist ein gewaltiger Unterschied.“ Das ist schon klar, deshalb bezeichnete ich den „Vergleich“ auch…”

Joachim on Weibliche Cyborgs, geträumt von Wombo: “@Siewurdengelesen: Ich muss ein wenig widersprechen, auch wenn ich das Meiste an dem Kommentar okay bis sehr gut finde (und…”

WordPress-Hack: das Abfragen der eingerichteten Benutzer verhindern

Eine Meinung zu “WordPress-Hack: das Abfragen der eingerichteten Benutzer verhindern”

Antworten

Radio

Kategorien

Feeds

Zeugs

daMax woanders

Und ihr so…

Was bisher geschah:

OOPS!

Ey, lass mich einfach rein, okay?
(Setzt per Javascript einen Cookie. Wenn Du das alles deaktiviert hast, weiß ich auch nicht, wie ich dir helfen soll)

Ich will das hier nie wieder sehen.
(Setzt per Javascript einen sehr langlebigen Cookie. Wenn Du das alles deaktiviert hast oder Cookies automatisch oder auch von Hand löschst, weiß ich auch nicht, wie ich dir helfen soll)

WordPress-Hack: das Abfragen der eingerichteten Benutzer verhindern

Eine Meinung zu “WordPress-Hack: das Abfragen der eingerichteten Benutzer verhindern”

Antworten

Radio

Kategorien

Feeds

Zeugs

daMax woanders

Und ihr so…

Was bisher geschah:

OOPS!

Ey, lass mich einfach rein, okay? (Setzt per Javascript einen Cookie. Wenn Du das alles deaktiviert hast, weiß ich auch nicht, wie ich dir helfen soll)

Ich will das hier nie wieder sehen. (Setzt per Javascript einen sehr langlebigen Cookie. Wenn Du das alles deaktiviert hast oder Cookies automatisch oder auch von Hand löschst, weiß ich auch nicht, wie ich dir helfen soll)

Ey, lass mich einfach rein, okay?
(Setzt per Javascript einen Cookie. Wenn Du das alles deaktiviert hast, weiß ich auch nicht, wie ich dir helfen soll)

Ich will das hier nie wieder sehen.
(Setzt per Javascript einen sehr langlebigen Cookie. Wenn Du das alles deaktiviert hast oder Cookies automatisch oder auch von Hand löschst, weiß ich auch nicht, wie ich dir helfen soll)