首页 » CMS » WordPress » wordpress屏蔽REST API防止用户泄露

wordpress屏蔽REST API防止用户泄露

 

对于wordpress来说,很多站长都不陌生,但是你是否留意过REST API,具体REST API核心用途可分为以下几个层面。

一、远程数据交互

通过JSON格式实现跨平台数据操作,如内容获取

文章/页面:/wp/v2/posts、/wp/v2/pages
分类/标签:/wp/v2/categories、/wp/v2/tags
媒体文件:/wp/v2/media
用户数据:/wp/v2/users

二、古腾堡编辑器依赖

古腾堡编辑器依赖REST API实现实时预览和内容保存

三、多平台应用开发

小程序、APP、跨系统集成,依赖REST API获取WordPress内容等

 

接下来说下REST API是如何泄露用户信息的

访问https://域名/wp-json/wp/v2/users/

例如:https://www.whsir.com/wp-json/wp/v2/users/

可以看到如下类似信息,当前wordress中所有用户名都显示了出来,这样对于安全性有着极大隐患。

解决此问题需要禁用REST API或相关地址,但是需要注意,如果完全禁用REST API会导致古腾堡编辑器失效,依赖API的插件可能崩溃等问题,请做好充分测试。

方法一:通过代码方式,普通用户登录可访问该接口

在wp-content/themes主题目录下编辑functions.php文件

方法二:通过代码方式,仅管理员用户登录可访问该接口

在wp-content/themes主题目录下编辑functions.php文件

方法三:通过nginx反向代理规则屏蔽

通过nginx规则屏蔽所有以/wp-json/wp/v2/users/开头的URI地址

方法四:通过安装插件方式

可在插件中心安装“禁用WP REST API”插件

原文链接:wordpress屏蔽REST API防止用户泄露,转载请注明来源!

0