¿Debo preocuparme por la vulnerabilidad de enumeración de usuarios de la API REST de WordPress?

Question

¿Debo preocuparme por la vulnerabilidad de enumeración de usuarios de la API REST de WordPress?

#1 de Arminius (4 votos)

1

Con la API de WordPress actual, puede obtener una lista de nombres de usuario y direcciones de correo electrónico de todos los usuarios del sistema casi sin esfuerzo:

<url>/wp-json/wp/v2/users

Da como resultado algo como:

[{  
  "id":1,
  "name":"admin",
  "url":"",
  "description":"",
  "link":"http:\/\/...\/author\/admin\/",
  "slug":"admin",
  "avatar_urls":{  
     "24":"http:\/\/1.gravatar.com\/avatar\/...",
     "48":"http:\/\/1.gravatar.com\/avatar\/...",
     "96":"http:\/\/1.gravatar.com\/avatar\/..."
  },
  "meta":[  

  ],
  "_links":{  
     "self":[  
        {  
           "href":"http:\/\/.../wp-json\/wp\/v2\/users\/1"
        }
     ],
     "collection":[  
        {  
           "href":"http:\/\/..."
        }
     ]
  }
  },...

El nombre de usuario y la ID son inmediatamente visibles. No veo que esto sea algo más que una clara vulnerabilidad de enumeración de usuarios.

user-enumeration wordpress

pregunta Chris Hanson 10.02.2017 - 02:14

fuente

1 respuesta

Lea otras preguntas en las etiquetas user-enumeration wordpress

¿Es posible obtener virus / malware simplemente conectándose a un teléfono con Android que actúa como punto de acceso WiFi? [duplicar] Registro de pulsaciones de teclas en una máquina virtual con teclado virtual

score 4 · Accepted Answer

Es difícil prevenir de manera confiable la enumeración de los usuarios de Wordpress, ya que hay muchas formas diferentes de filtrarlos. Además del enfoque de REST API, un atacante también puede recorrer las ID de autor para descubrir cuentas o simplemente recopilar los autores de Todas las publicaciones publicadas. Los nombres de usuario de WordPress simplemente no fueron diseñados para mantenerse en secreto.

El mayor riesgo a través de la enumeración del nombre de usuario es que revela cuentas antiguas de guest o test con contraseñas débiles. Como administrador de Wordpress, impondría contraseñas seguras para todas las cuentas, desactivaría las cuentas heredadas y no me preocuparía por el problema de enumeración, ya que existen amenazas mucho mayores para las instalaciones de Wordpress (como los complementos mal escritos).

Sin embargo, si la pérdida de nombres de usuarios te hace sentir incómodo, hay complementos como Detener enumeración de usuarios que también toman cuidado de la fuga de REST API que describiste.

También vea: ¿Puedo evitar la enumeración de los nombres de usuario?