Hola,
Durante una auditoría de seguridad a nuestros sistemas, el especialista informó que tenemos una vulnerabilidad debido a la divulgación de información de administración de WordPress.
Al acceder a/wp-json/wp/v2/usuarios, toda la información sobre administrador registrado (como ID, nombre, nombre de inicio de sesión, etc.) se divulga sin autenticación en WordPress a través de API.
Esto es preocupante ya que las contrapartes maliciosas podrían recolectar los nombres de usuario revelados (y el administrador) centrarse en todo el ataque BF (como ahora se conoce los nombres de usuario), lo que hace que sea menos difícil penetrar el sistema. Es posible registrar a todos los usuarios en el sistema y crear una fuerza bruta dirigida a estos usuarios.
Como solución de mitigación, me dijeron que usara este código para ocultar la divulgación de información y dar 404, mientras que el resto de las llamadas de API siguen funcionando como estaban.
add_filter (‘REST_ENDPOINTS’, function ($ endpoints) {if (isset ($ endpoints[‘/wp/v2/users’] )) {unset ($ endpoints[‘/wp/v2/users’] ); } if (isset ($ endpoints[‘/wp/v2/users/(?P
Mi pregunta es simplemente: ¿en qué parte de WordPress debo insertar este código?
¡Gracias de antemano por su ayuda!
Este tema fue modificado hace 12 horas, 38 minutos por
.
La página con la que necesito ayuda con: [log in to see the link]