Ultima modifica:
Buongiorno, utilizzando uno di questi due URLs è possibile risalire al username del autore su Wordpress: ilTuoHost/?author=1 o ilTuoHost/wp-json/wp/v2/users/1.
Il primo ti reindirizzerà a ilTuoHost/nomeDelAutore (rivelando l username del autore), mentre il secondo ritornerà alcune informazioni riguardo al autore in formato JSON (tra cui l username). Questi due metodi si possono utilizzare anche per enumerare altri utenti semplicemente cambiando id.
Per disabilitare il primo URL aggiungi questo in .htaccess:
Per disabilitare il secondo URL, disattiva gli endpoint con questo snippet:
In tutti i casi è meglio utilizzare una password complessa ed abilitare l' autenticazione a due fattori.
Il primo ti reindirizzerà a ilTuoHost/nomeDelAutore (rivelando l username del autore), mentre il secondo ritornerà alcune informazioni riguardo al autore in formato JSON (tra cui l username). Questi due metodi si possono utilizzare anche per enumerare altri utenti semplicemente cambiando id.
Per disabilitare il primo URL aggiungi questo in .htaccess:
Codice:
RewriteCond %{REQUEST_URI} !^/wp-admin [NC]
RewriteCond %{QUERY_STRING} ^author=\d+ [NC,OR]
RewriteCond %{QUERY_STRING} ^author=\{num
RewriteRule ^ - [L,R=403]
Per disabilitare il secondo URL, disattiva gli endpoint con questo snippet:
PHP:
function disable_rest_endpoints ( $endpoints ) {
if ( isset( $endpoints['/wp/v2/users'] ) ) {
unset( $endpoints['/wp/v2/users'] );
}
if ( isset( $endpoints['/wp/v2/users/(?P<id>[\d]+)'] ) ) {
unset( $endpoints['/wp/v2/users/(?P<id>[\d]+)'] );
}
return $endpoints;
}
add_filter( 'rest_endpoints', 'disable_rest_endpoints');
In tutti i casi è meglio utilizzare una password complessa ed abilitare l' autenticazione a due fattori.