Errores API REST WordPress

Errores API REST WordPress que hacen que su sitio sea inseguro

Aun que hay errores API REST WordPress por depurar tenemos grandes esperanzas de modernizar y mejorar el rendimiento del creador web. Soy un gran fan, pero si no entiende cómo funciona la API, puede llevar a errores que terminen en grandes agujeros de seguridad para su sitio, especialmente si no es un desarrollador.

En esta publicación, quiero compartir algunos de los errores comunes que cometen los usuarios que no están familiarizados con la API REST de WordPress para que pueda mantener su sitio seguro.

¿API – Que es esto?

Entonces, ¿qué es la API REST de WordPress? La API REST de WordPress funciona como un puente que puede conectar una amplia variedad de aplicaciones a WordPress.

¿Suena complicado? Con el editor de Gutenberg, finalmente estamos empezando a ver a gran escala lo que es posible cuando WordPress usa la API REST para ejecutar junto con las tecnologías más nuevas.

La estructura JSON de la API es fácil de entender para las computadoras y los seres humanos, lo que facilita su uso a través de medios programáticos. Y el estilo arquitectónico REST significa que una gran variedad de aplicaciones se pueden conectar a él.

Puede usar la API para recuperar los datos de su sitio para poder mostrarlos en otro lugar en un formato diferente. O puede mejorar las cosas y usar la API para controlar su sitio de forma remota, mediante el envío de comandos como crear, actualizar y eliminar. Juntos forman el acrónimo CRUD (viene de ingles create, update and delete) y puede usarlos en lo siguiente:

  • Mensajes
  • Publicar Revisiones
  • Categorías
  • Etiquetas
  • Páginas
  • Comentarios
  • Taxonomias
  • Media
  • Usuarios
  • Tipos de publicaciones
  • Publicar estados
  • Ajustes

Con tanto poder, puede ver por qué la API REST de WordPress es una adquisición tan valiosa para los hackers. Con el acceso a la API de su sitio, pueden controlar prácticamente todo su sitio de forma remota.

Estos son los escollos en los que los principiantes tienen más probabilidades de cometer un error y abrir vulnerabilidades involuntariamente:

  1. Mostrar información confidencial porque no son conscientes de que la API REST muestra todos los datos de forma predeterminada
  2. Usar la autenticación básica en un sitio en vivo y exponer involuntariamente sus credenciales de inicio de sesión
  3. No utilizar una conexión cifrada para la autenticación.

Hablamos de hackers que crean puertas traseras, pero en estos casos, se parece más a usted ya que el administrador lo dejó desbloqueado.

Vamos a repasar cada uno de estos.

Visualización de información sensible por debido a errores API REST WordPress

Al igual que las publicaciones y las páginas son visibles de forma predeterminada en un sitio de WordPress, la API REST de WordPress también está habilitada de forma predeterminada. Puedes ver los datos de tus publicaciones, páginas, categorías, etiquetas, medios, etc.

Para ver los datos JSON de su sitio de WordPress, escriba la dirección URL de su sitio, seguido de wp-json/wp/v2/posts en su navegador. Se verá así  https://geopoz.com/wp-json/wp/v2/posts pero con tu URL en lugar degeopoz.com ¿Ve todos esos datos? Cualquiera puede verlo.

datos rest api json
Hay herramientas, como Postman, que hacen que esto sea más fácil de leer.

Si está utilizando sus publicaciones de WordPress para almacenar información confidencial, entonces estos datos se expondrán con la API. Esto podría suceder incluso si está restringiendo el contenido a ciertos usuarios u ocultando contenido detrás de un muro de pago, por lo que es importante que verifique lo que está visible.

Sin darse cuenta, podría estar exponiendo datos que infringen la política de privacidad de la empresa, HIPAA o GDPR.

Como mencioné brevemente, algunos temas, complementos e incluso Gutenberg utilizan la API REST de WordPress, por lo que debes evitar los complementos que lo deshabiliten por completo.

WordPress Rest Api – Usando la autenticación básica en un sitio en vivo

Autenticación tiene como objetivo responder a la pregunta es esta persona auténtica? ¿Son ellos quienes dicen que son? Es una forma de confirmar identidad. Verificando nombres de usuario y contraseñas, autenticación ded os factores, se obtiene la idea.

No todas las solicitudes a la API REST de WordPress requieren autenticación. Recuperar mensajes, por ejemplo, no lo hace. Eliminar usuarios, moderar comentarios, crear una nueva publicación.

herramienta postman

Sin la autenticación adecuada, no puede eliminar las publicaciones

Si está utilizando la API REST de WordPress, puede usar la autenticación de cookies que viene con WordPress. Si está utilizando la API REST de WordPress de un cliente externo, como un sitio de WordPress diferente o una aplicación personalizada, deberá configurar una forma de autenticación diferente.

Tiene varias opciones, puede usar OAuth, tokens web JSON o Autenticación básica. A la que quiero llamar su atención es a autenticación básica porque no es apropiada para cada situación.

Para la autenticación básica, su nombre de usuario y contraseña se envían junto con cada solicitud en el encabezado, para que todos puedan verlos. Si eso suena imprudente, tienes toda la razón.

Nunca debe usar la autenticación básica en un sitio activo y correr el riesgo de exponer sus credenciales de inicio de sesión de administrador. Solo debe usar la autenticación básica en un entorno protegido, como cuando está solucionando problemas en un sitio local.

No envío de solicitudes a través de cifrado

2018 fue el año en que Google comenzó a marcar todos los sitios que no tienen un certificado SSL.

Voy a asumir que ya tienes uno, pero si no lo tienes, ¿Qué diablos estás esperando? Hoy en día, puede obtener un certificado SSL de forma gratuita a través de la mayoría de los hosts administrados.

Ya que la API REST de WordPress actúa como un puente, usted quiere proteger esa conexión de un ataque de hombre en el medio. Para hacer eso, no solo su sitio de WordPress no tiene que tener un certificado SSL, sino también su cliente externo (si está usando uno).

Básicamente, debe proteger la conexión desde ambos extremos para que toda su comunicación esté encriptada. 

Además, asegúrese de que toda su autenticación se envíe a través del protocolo HTTPS, de modo que cualquier persona que escuche, solo verá datos cifrados. Esto es CRÍTICO ya que el proceso de autenticación implica enviar y recibir credenciales de inicio de sesión.

Tercera API ciega

Como hemos visto, la API REST de WordPress está bastante fortificada siempre y cuando la uses de la forma en que fue diseñada.

La API REST de WP ha sido parte del núcleo de WordPress desde la versión 4.4, y aparte de la única instancia, la API REST de WP no ha tenido ningún otro problema de seguridad. Toco madera.

Tengo que decir que cuando la API se agregó al núcleo, pensé que veríamos muchas más cosas geniales construidas con la API de WordPress. ¿Tuviste?

Todavía siento que es uno de los componentes más infrautilizados de WordPress. Y espero que todos los que piensen que Gutenberg no satisface sus necesidades tengan la oportunidad de crear su propio administrador. Un editor de aplicaciones para usuario amigable para dispositivos móviles sería increíble;) Dale a los errores API REST de WordPress la atención que se merecen.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *