Information Disclosure (Username Enumeration)

Szerző: laci75
Date:
Megtekintés: 61
Válaszok: 1
  • 0

Sziasztok!

Van egy WordPress oldalam és kaptam egy emailt (valószínűleg spam) az alábbi üzenettel:

The WordPress plugin is found to be vulnerable to the Usernames Enumeration vulnerability.The vulnerability allows an attacker to enumerate a list of usernames registered on the affected WordPress site by querying the URL "https://oldalam.hu/wp-json/wp/v2/users/".

Ha a linket megnézem akkor valóban lehet látni a felhasználóneveket. Kell valamit tennem, vagy figyelmen kívül lehet hagyni?

Válaszok

Írta: vicks

Beküldve: 13 Mar 2024

  • 0

Szia!

Van rá plugin amivel megtudod akadályozni a felhasználónevek lekérdezését.

https://wordpress.org/plugins/stop-user-enumeration/

Vagy használhatsz egyedi kódot is amit a sablonod functions.php fájljába kell bemásolnos.

function restrict_user_rest_api_access() {
    if (isset($_SERVER['REQUEST_URI']) && strpos($_SERVER['REQUEST_URI'], '/wp-json/wp/v2/users') !== false) {
        // Check if the user is logged in and has the 'edit_posts' capability
        if (!is_user_logged_in() || !current_user_can('edit_posts')) {
            // If the user does not have the required capability, return an error
            wp_die('You are not allowed to access this part of the site');
        }
    }
}

add_action('init', 'restrict_user_rest_api_access');

A kód ellenőrzi, hogy az aktuális kérés URI-ja tartalmazza-e a /wp-json/wp/v2/users részt. Ha igen, a kód tovább ellenőrzi, hogy a felhasználó be van-e jelentkezve és rendelkezik-e a edit_posts jogosultsággal. Ha a felhasználó nincs bejelentkezve vagy nem rendelkezik a szükséges jogosultsággal, a funkció leállítja a végrehajtást és hibaüzenetet küld, ezzel megakadályozva a felhasználói lista jogosulatlan hozzáférését a REST API-n keresztül.

Jelentkezz be válasz beküldéséhez!