Znajdź zawartość

Każda nowa wersja systemu zarządzania treścią (CMS) WordPress wprowadza udoskonalenia platformy pod względem bezpieczeństwa przechowywania oraz dostępu do wrażliwych danych użytkowników. Funkcja Rest API została dodana w wersji 4.7 wordpress’a i jest przydatnym narzędziem dla programistów. Niestety przy okazji, całkiem anonimowo, umożliwia osobom z zewnątrz sprawdzenie ID (numer identyfikacyjny) użytkowników oraz każdego zarejestrowanego loginu, a nawet sumy kontrolnej gravatarów! Osoby niepożądane mogą wyświetlić także posty, strony czy media osadzone wewnątrz systemu. By poznać te wartości, wystarczy w pasku adresu dopisać ściężkę dostępową, np. getpaid20.pl/wp-json/wp/v2/users (tutaj jest zablokowane oczywiście - ale przejrzyjcie inne strony na WP, zwłaszcza starsze:)). W tym wpisie przedstawiam jak pozbyć się tej luki, czyli jak wyłączyć anonimowy dostęp do REST API oraz zablokować enumerację użytkowników. Nie jestem fanem wtyczek-zapychaczy, w takim razie jeżeli mogę zrobić coś z pominięciem pluginu - robię to. Tak też zrobiłem w tym przypadku. Zapraszam do lektury i zachęcam do wdrożenia tych zabezpieczeń na swoich stronach. INSTRUKCJA - wyłączamy anonimowy dostęp do REST API - wordpress UWAGA: Jeżeli potrzebujesz włączone API, to oczywiście tego nie rób, nie wyłączaj. Jeśli jednak nie miałeś/aś nawet pojęcia co to jest - najlepiej wyłączyć. Zdecydowana większość osób nie używa REST API i w celu zabezpieczenia swojego wordpress’a, zalecam wyłączenie. W tym celu: Instalujemy wtyczkę My Custom Functions Plugin: My Custom Functions Opis: Łatwe i bezpieczne dodawanie niestandardowego kodu PHP bez ingerencji w plik functions.php Link: https://wordpress.org/plugins/my-custom-functions Moja opinia: MUST HAVE! Mam ten plugin na absolutnie każdej swojej stronie! Są dwie możliwości dostania się od ustawień wtyczki gdzie wprowadzisz zmiany: Wtyczki -> Zainstalowane wtyczki -> My Cystom Functions -> Settings Ustawienia -> PHP Inserter Obojętnie którą z wyżej wymienionych możliwości wybierzemy, w zakładce “Main" wklejamy kod: add_filter( ‘rest_endpoints’, ‘__return_empty_array’ ); Po wklejeniu powyższego kodu: Po prawej stronie zmieniamy przełącznik na wartość “ON" (tylko wtedy zmiany będą działały!) Zapisujemy zmiany (Save changes) Jeśli wszystko zrobiłeś/aś tak jak należy, po przejściu pod adres wp-json/wp/v2/users powinna pokazać się taka informacja: Blokowanie enumeracji użytkowników WordPress jest wyposażony w tzw. funkcję enumeracji. To znaczy, że każdy użytkownik w bazie danych ma przypisany numer identyfikacyjny - ID. Domyślnie od 1 (admin) do ∞ (nieskończoność). W takim razie nawet jeśli REST API będzie wyłączone i z jego pomocą nie da rady ustalić listy zarejestrowanych użytkowników, osoby niepożądane mogą użyć skryptu, który po kolei będzie wpisywał kolejne numery do paska adresu (/?author=x, gdzie ‘x‘ to cyferka) - i w ten sposób znajdzie loginy użytkowników na naszej stronie. Dlatego zalecam również zablokowanie enumeracji użytkowników. W tym celu logujemy się na swój serwer FTP i edytujemy plik .htaccess, który znajduje się w głównym folderze strony (tam gdzie index.php). W tym pliku, bezpośrednio nad </IfModule>, wklejamy poniższy kod: RewriteCond %{QUERY_STRING} ^author=([0-9]*) RewriteRule .* https://ADRES-TWOJEJ-STRONY.PL/? [L,R=302] ADRES-TWOJEJ-STRONY.PL - w tym miejscu wpisujemy domenę swojej strony! Cały kod .htaccess powinien wyglądać następująco: # BEGIN WordPress RewriteEngine On RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}] RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] RewriteCond %{QUERY_STRING} ^author=([0-9]*) RewriteRule .* https://ADRES-TWOJEJ-STRONY.PL/? [L,R=302] # END WordPress Od tej pory gdy ktoś z zewnątrz będzie chciał ustalić loginy zarejestrowanych użytkowników, zostanie automatycznie przekierowany na stronę główną. Dokładniej rzecz biorąc, zostanie przekierowany tam gdzie wskażemy - zamiast https://ADRES-TWOJEJ-STRONY.PL/ można ustawić inny adres do przekierowania. Dowolny 😉 Do edycji .htaccess mogę też polecić wtyczkę Htaccess File Editor - Safely Edit Htaccess File Testowanie poprawności przed zapisaniem Automatyczne kopie Możliwość wgrania backupu (z poziomu pluginu lub FTP) Wspiera sieć stron WordPress (tzw. WordPress Multisite) Zwiększanie bezpieczeństwa i łatanie luk w wordpressie Wyłączone REST API oraz zablokowana enumeracja użytkowników skutkuje zwiększeniem bezpieczeństwa swojego wordpress’a. Oczywiście należy też pamiętać o zmianie loginu administratora. Nie można sobie pozwolić na taki rarytas jak login “admin" lub “administrator", ponieważ to również jest proszenie się o próbę włamania do panelu administracyjnego. Zabezpieczeń wordpress’a jest bardzo dużo i warto się tym interesować. To najpopularniejszy CMS, a więc i najpopularniejszy kąsek dla internetowych przestępców. Więcej o zabezpieczaniu wordpress’a dowiecie się także z mojego podcastu dla Mylead: Pozdrawiam Harry

Witam, szukasz kogoś kto pomoże Ci wypromować, stworzyć swój biznes w internecie lub poprawić już istniejący? Masz problem z działaniem strony aplikacji? Potrzebujesz zmodyfikować swój skrypt? Chcesz pogadać, co by tu zrobić - jak powiększyć sprzedaż? Masz swoją wizję, potrzebujesz tylko wykonawcy? Zapraszam do kontaktu, Co oferuję? Od A do Z, od Z do A w internecie. Zajmowałem się tworzeniem małych stron i dużych portali, wprowadzeniem produktów na rynek i metamorfoz już istniejących projektów. Przygotuję twój projekt nie tylko żeby był piękny, nie tylko żeby konkurencja musiała zmieniać swój pran marketingowy żeby Cię doścignąć, ale przede wszystkim żeby przynosił Tobie radość z jego prowadzenia, byś mógł się nim pochwalić był dumny, i przynosił zysk. Wyznaczam nowe trendy, konkurencja będzie nas naśladować! Jak to działa? Analiza rynku - Analiza konkurencji - Tworzenie strategii - Wprowadzenie jej - Optymalizacja - Zysk Zapraszam. W zależności od wolnego czasu przyjmuję zlecenia na małe zlecenia i większe projekty, nawet na poszczególne elementy. Kontakt na PW lub dane ze stopki.

Od lat dochodzą do nas informacje, jakoby właśnie dobiegała końca era botów. Czas i praktyka pokazywała jednak, że jest zupełnie inaczej. Tymczasem wiele wskazuje na to, że Instagram w końcu powiedział dość i porządnie zabrał się za zwalczanie tego typu automatyzacji. Trudno nie zauważyć pewnych zmian. Osoby korzystające z przeróżnych opcji i rozwiązań dostrzegły nagły wzrost blokad swoich kont. Co ciekawe, ograniczenia najczęściej dotyczą tylko i wyłącznie pracy bota (co może wiązać się również np. z adresami IP). Bany nie dotyczą natomiast działań związanych z ręcznym korzystaniem z aplikacji. Wróbelki ćwierkają, że Instagram zamierza wykorzystywać wszystkie dostępne w sieci boty, aby udoskonalać AI. Jak to wygląda u Was? Korzystacie z botów i zauważyliście zmiany? Myślicie, że to efekt API wykrywający działania botów, czy może jednak większe znaczenia ma adres (pula) IP?

Jesteś profesjonalistą. Korzystaj więc z narzędzi stworzonych specjalnie dla zawodowców. Wykorzystaj zupełnie nowe funkcjonalności odświeżonego systemu postback API i automatycznie otrzymuj szczegółowe informacje o każdym pojawiającym się leadzie. Co to jest postback API? Postback API to system, który automatycznie i w czasie rzeczywistym, wysyła dane o wszystkich nowych lead-ach, które otrzymujesz na swoim koncie poprzez umieszczenie skryptu na Twoim serwerze. Postback jest szczególnie przydatny przy budowie serwisów internetowych lub aplikacji, ale nie tylko. Do czego mogę wykorzystać API? Postback API ma wiele różnych zastosowań. Własna sieć afiliacyjna lub portal z grupą ludzi, mających za zadanie promowanie towarów lub usług, niestandardowe konkursy, dokładne statystyki i raporty - to dopiero początek tego, co możesz zrobić. Tak naprawdę ogranicza Cię tylko Twoja kreatywność. Postback API otwiera nieograniczone możliwości, pozwalające wykorzystywać system do swoich własnych rozwiązań. Wszystko zależy od pomysłu na jego użycie. Przejdź na MyLead.pl i zacznij korzystać z postback API już teraz! Jakie nowe funkcjonalności się pojawiły? Zdecydowaliśmy się na zupełne odświeżenie systemu postback API. Oddajemy w Twoje ręce szeroki wachlarz aż 15 parametrów, które automatycznie przekażą Ci najważniejsze dane: Unikatowy identyfikator transakcji Identyfikator programu Nazwa programu Identyfikator konfiguracji w programie Stawka lead wyrażona w groszach Stawka lead wyrażona w formie zmiennoprzecinkowej Status lead-a. Dopuszczalne wartości: pending, approved, rejected Waluta, obecnie tylko PLN IP wygenerowanego lead-a Kod kraju, z którego wygenerowano lead-a Identyfikator ml_sub (aż 5 dostępnych identyfikatorów), dodawany do linku trackującego. Są to parametry trackujące, które, przy wykorzystaniu jednej konfiguracji na kilku stronach, wskażą Ci, skąd pochodzi dany lead. Chcę wiedzieć więcej! Więcej o postback API dowiesz się z naszego bloga, na którym udostępniliśmy rozbudowany wpis.

Tak jak w temacie, szukam osoby która mi wdroży API pewnego serwisu w odpowiednie miejsce w mojej aplikacji Visual Basic. Chodzi o wyświetlanie się lockera. Wszystkie instrukcje co do wdrożenia API posiadam. Zainteresowanych proszę o kontakt na PW

1. Nazwa przedmiotu: Zlecę integrację API z ofertami CPA 2. Opis przedmiotu: Szukam programisty PHP, który byłby w stanie wykonać integracje z ofertami z siecią CPA. Polega to mniej więcej na tym, że trzeba będzie wysłać pewne informacje, które użytkownik wprowadzi na stronie, do tej sieci CPA za pomocą GET lub POST. 3. Cena: do uzgodnienia 4. Kontakt: pw 5. Sposób zapłaty: bank lub paypal

Cześć, korzysta ktoś z api OGADS? Jeśli tak - w jaki sposób mogę użyć metody ip, bądź ua, potrzebuję dodać automatyczne wykrywanie geolokalizacji klienta, co prawda dokumentacja mówi, że istnieje takie wywołanie, aczkolwiek nie mówi już w jaki sposób tego użyć.

Witam, potrzebuje skryptu do landingpage, chcialbym aby po wklepaniu usera z Instagrama w boxie wyskoczylo info o nim. Jak to zrobic ?

1. Nazwa przedmiotu: Skrypt sklepu sms ze skinami do cs:go 2. Opis przedmiotu: Skrypt sklepu sms ze skinami do cs:go. Skrypt domyślnie jest podpięty pod serwis microsms.pl Skrypt posiada Admin Panel. Prosta instalacia i konfiguracja. 3. Źródło pozyskania: Autorski skrypt własny. 4. Zdjęcia: LIVE DEMO: Kliknij Tutaj! Chcesz zdjęcia? Pisz PW 5. Kontakt: PW lub STEAM / Telefon po rozmowie PW. 6. Cena: 300zł +- 7. Sposób zapłaty: (PRZELEW / ALLEGRO / MOGE SIE DOGADAC DO INNEJ FORMY)

1. Nazwa przedmiotu : Aplikacja Facebook pozwalająca na spamowanie tablic użytkowników 2. Opis przedmiotu : Uzyskane uprawnienia publish_actions pozwalające na dodawanie postów na tablicy użytkownika bez jego wiedzy :-), aplikacje nowe, nigdy nie używane. Oferuję pomoc w konfiguracji aplikacji. Aplikacje z pierwszej ręki! 3. Własne 5.Kontakt : PW lub GG jak w sygnaturce 6.Cena :200zł 7.Sposób zapłaty za przedmiot : Transferuj ( każdy bank online ), Allegro Zapytaj o dostępne zniżki lub uprawnienia jakie chciałbyś w aplikacji! Możliwość wystawienia rachunku od firmy ( bez VAT ) Więcej aplikacji - większe zniżki!

Witam! Poszukuję programisty, który ogarnie następujące API. Jest serwis ogłoszeniowy, w którym po rejestracji można dodać ogłoszenie poprzez formularz (część ogłoszeniowa oparta na classipress - wordpress + buddypress). Potrzebuję API, które umożliwi następującą operację. Jest forum, w którym chcielibyśmy zaimplementować API z formularzem, aby użytkownicy tegoż forum mogli wystawić ogłoszenie, które następnie pojawi się na łamach serwisu a link do ogłoszenia i na przykłąd tytuł pozostanie w dziale Giełda tego forum. Z powyższą API musi wiązać się coś jeszcze. Serwis ma zaimplementowane logowanie (rejestrację) przez facebook. Potrzebowałbym analogiczną funkcję rejestracji za pomocą tego forum, bez konieczności podawania maila, potwierdzania linku blabla. Czyli powiązać te dwie strony, żeby użytkownicy zalogowanie no forum podczas dodawania ogłoszenia logowali się tym kontem na serwisie i powstawało im tam konto. Jeśli pierwsza z opcji czyli API do formularza jest zbyt skomplikowana albo wręcz niemożliwa to wystarczy mi druga opcja czyli logowanie przez forum do serwisu da się ogarnąć? kiedy i za ile? Proszę o poważne propozycje. forum oparte na Simple Machines. więcej info na priv dla osób, które zajmują się tym profesjonalnie

Tak jak w temacie. Zlecę modyfikację skryptu PHP Amazon API Cena do ustalenia. Górna granica to 120 zł. Wszelkie pytania i propozycję proszę kierować pod ten numer gg: 2618670

Proszę o pomoc z API AdworkMedia! Chcę aby na mojej stronie były linki do ofert. Ludzie klikają w link i są na stronie oferty. Po wykonaniu oferty, dostają punkty na mojej stronie, a ja leady