Her er dine WordPress admin brukernavn

Tematikk:

Kjører dere WordPress? Kommer du inn på denne URL’en på egen webside? https://webside.xyz/wp-json/wp/v2/users/?per_page=100&page=1

Mange kjører WordPress, av mange gode grunner. Det er mange gode løsninger med plattformen, med det man kaller plugins. Dette er fint og flott, men kan også gi uønskede sårbarheter.

API

Alle moderne løsninger har i dag API, Application Programming Interface. Mens man som vanlig bruker eller administrator går til en webside med https://webside.xyz, kan verktøy aksessere den samme siden med API for data kommunikasjon. Dette benyttes for integrasjon med andre systemer og automasjon. API gir verden helt nye muligheter, og er noe enda flere burde sette seg inn i.

Kanskje løsningen du allerede har på plass har et API grensesnitt. Kanskje dette er tilgjengelig fra internett. Kanskje det er tilgjengelig internt. Kanskje det er sårbart og kan misbrukes av kriminelle. Mange er ikke bevisste på dette, da dette grensesnittet ikke er noe man selv bruker. Så la oss se på saken.

WordPress admin. /wp-admin/

Kjører man WordPress installasjon, vil admin til denne siden være https://webside.xyz/wp-admin/. Er websiden tilgjengelig fra internett, som den ofte er, vil man få opp denne fra internett:

SaaS

Dette er det samme som for alle SaaS applikasjoner. Man har en tjeneste på internett, og da er gjerne administrator grensesnittet også der.

WordPress utfordring. Administrator brukernavn

Kjører du WordPress, eller vet om noen som gjør det, kjør følgende URL:

https://webside.xyz/wp-json/wp/v2/users/?per_page=100&page=1

Om ingen ekstra sikkerhetstiltak er innført, vil du nå få ut mye informasjon, inkludert alle administrator brukernavn. Søk etter “slug” og du ser navnene. Dette er en kjent sårbarhet som flere vet å utnytte.

MFA

Da altfor mange slurver med viktigheten av MFA vil det bare være et tidsspørsmål før man kommer inn som administrator. Dette er enkelt, og kan ta minutter. En svakhet er fellesbrukere og enkle passord.

WordPress løsning

Man må gjøre noe med API tilgangen. Man kan/bør kun tillate tilgang til API for autentiserte brukere.

Use the Disable WP REST API Plugin

The Disable WP REST API plugin enables you to prevent users from using the API if they are not logged into WordPress:

Therefore, it stops visitors and unknown entities from accessing your data and potentially abusing it. In this way, you can ensure that only authenticated users have access to the interface.

This plugin is straightforward to use and lightweight. It 

Gøran Tømte

Gøran Tømte

Gøran har jobbet i bransjen siden 1996 og trives best med ukjente utfordringer. Er utdannet høgskole ingeniør innen telematikk, og kontinuerlig selvlært innen sikkerhet basert på gode kollegaer, bransjen og generell nysgjerrighet og interesse

KONTAKT

Andre artikler

Stay Connected

More Updates

Krav ved kjøp av NGFW

Det er mange gode brannmur produsenter og produkter, og flere er oppe til høyre i Gartners Magic Quadrant. Å velge brannmur er ikke enkelt. Men

Leverandørkontroller

Viktigheten av kontroller ved tjenesteutsetting/kjøp av tjenester “Alle” tjenesteutsetter/kjøper tjenester. Men hvordan verifiseres og risikovurderes dette? Som kunde har man alltid 100% ansvar for sikkerheten,

Her er dine WordPress admin brukernavn

Facebook
Twitter
LinkedIn

More to explorer

Krav ved kjøp av NGFW

Det er mange gode brannmur produsenter og produkter, og flere er oppe til høyre i Gartners Magic Quadrant. Å velge brannmur er