Skocz do zawartości

Blokujemy anonimowy dostęp do REST API czyli zabezpiecz WP [AKTUALIZACJA 2021]


Rekomendowane odpowiedzi

Dołącz do nas za darmo i naucz się zarabiać!

  • Dostęp do darmowych poradników pokazujących krok po kroku jak zarabiać w Internecie
  • Sposoby zarabiania niepublikowane nigdzie indziej
  • Aktywna społeczność, która pomoże Ci rozwiązać problemy i doradzi
  • Profesjonalne treści na temat SEO, social media, afiliacji, kryptowalut i wiele więcej!

 

 

  • 3 tygodnie później...
  • 2 tygodnie później...

Jak donosi sekurak "Już ~1,5 miliona stron przejętych" za pomocą w/w REST API ;)

Ciekawy jestem czy wśród forumowiczów jest osoba, która myślała że nie warto zastosować się do moich wskazówek :troll:

Odnośnik do komentarza

Zawsze takie farmazony są siane przez osoby nie mające pojęcia w danym temacie lub mają lecz powierzchowne.

  1. phishing
  2. SQL Injection
  3. Atak XSS
  4. Kradzież cookies (session hijacking)

Twoje "dobre hasło" właśnie szlag trafił :)

Pozdrawiam

  • Super 1
Odnośnik do komentarza

Nie sprecyzowałeś lecz to nie zmienia, że to jest tylko przykład co można zrobić. To jest najbardziej trywialny atak w pełni zautomatyzowany.

Niestety punkt 4 tego co napisałem - Kradzież cookies (session hijacking) - czyli inaczej kradzież istniejącej już sesji pozwala zalogować się do kokpitu mając twoje ciasteczko więc jakiego hasła byś nie miał i tak da się to obejść dlatego  zabezpiecza się z wielu innych stron.

Każdy kto ma trochę oleju w głowie, nie ustawi takiego samego hasła do kokpitu, bazy danych mysql i ftp. Chociaż przyszło mi kilka(naście) razy spotkać się z takim osobami :-) Wystarczy tylko jedno słabsze hasło, żeby cała ochrona padła. Wolałbym zdecydowanie mieć słabsze hasło do kokpitu niż ftp/mysql ;)

Jest jeszcze coś takiego jak 'anonymous ftp' lub 'mysql -h ~ADRES IP~ -u root -p' :troll:

Odnośnik do komentarza
  • Harry zmienił(a) tytuł na Blokujemy anonimowy dostęp do REST API czyli zabezpiecz WP [AKTUALIZACJA 2021]

AKTUALIZACJA 2021

Temat został zaktualizowany. Treść poradnika została lekko rozszerzona.

Przy okazji zapraszam do kontaktu w celu zabezpieczenia i optymalizacji pod kątem szybkości (strony, blogi, sklepy, fora) :ok:

Pozdrawiam serdecznie

  • Super 2
Odnośnik do komentarza

Cześć @id-user,

Ciesze się, że mogłem pomóc ;) Sprawdź temat, bo rozszerzyłem o jeszcze jedną metodę identyfikacji na podstawie ID, tzw. enumeracja użytkownika. Oczywiście też jest opis jak zablokować :)

Pozdrawiam

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie z witryny oznacza zgodę na ich wykorzystanie. Polityka prywatności .