Information Disclosure (Username Enumeration)
- 0
Sziasztok!
Van egy WordPress oldalam és kaptam egy emailt (valószínűleg spam) az alábbi üzenettel:
The WordPress plugin is found to be vulnerable to the Usernames Enumeration vulnerability.The vulnerability allows an attacker to enumerate a list of usernames registered on the affected WordPress site by querying the URL "https://oldalam.hu/wp-json/wp/v2/users/".
Ha a linket megnézem akkor valóban lehet látni a felhasználóneveket. Kell valamit tennem, vagy figyelmen kívül lehet hagyni?
Válaszok
- 0
Szia!
Van rá plugin amivel megtudod akadályozni a felhasználónevek lekérdezését.
https://wordpress.org/plugins/stop-user-enumeration/
Vagy használhatsz egyedi kódot is amit a sablonod functions.php fájljába kell bemásolnos.
function restrict_user_rest_api_access() {
if (isset($_SERVER['REQUEST_URI']) && strpos($_SERVER['REQUEST_URI'], '/wp-json/wp/v2/users') !== false) {
// Check if the user is logged in and has the 'edit_posts' capability
if (!is_user_logged_in() || !current_user_can('edit_posts')) {
// If the user does not have the required capability, return an error
wp_die('You are not allowed to access this part of the site');
}
}
}
add_action('init', 'restrict_user_rest_api_access');
A kód ellenőrzi, hogy az aktuális kérés URI-ja tartalmazza-e a /wp-json/wp/v2/users
részt. Ha igen, a kód tovább ellenőrzi, hogy a felhasználó be van-e jelentkezve és rendelkezik-e a edit_posts
jogosultsággal. Ha a felhasználó nincs bejelentkezve vagy nem rendelkezik a szükséges jogosultsággal, a funkció leállítja a végrehajtást és hibaüzenetet küld, ezzel megakadályozva a felhasználói lista jogosulatlan hozzáférését a REST API-n keresztül.