WordPress публикува публично информация за вашия сайт, без да знаете

katsar0v

Active Member
WordPress е една от любимите ми системи за съдържание и тъй като имам многогодишен опит със ситемата, по-скоро я считам и използвам за framework при създаването на уеб сайтовете. Наскоро пуснах дискусия (линк) в официалния форум защо WordPress публикува толкова много информация чрез своя REST API.. напълно публично.

Буквално можеш да разбереш кои файлове са качени на даден сайт, кои са авторите (и какви gravatars изпозлват) и прочие. Начинът този API да се "приватизира" е доста прост и е буквално 4 реда PHP код, но тъй като програмистите не смятат споделената информация релевантна за сигурността и поверителността на даден сайт, всичко седи публично. Вие какво мислите по въпроса?

PS: Като за пример давам линк който показва кои са авторите на Obama Foundation - link
 

mobilio

Well-Known Member
2 часа е, а утре чакам къртача във 9:15. Мятам ти линкове, а ти си омно монче и ще си ги осмислиш:
1. https://blog.jump.bg/nowostite-w-wordpress-4-7/
2. https://wordpress.org/about/roadmap/
3. https://make.wordpress.org/core/2018/12/08/gutenberg-phase-2/
4. https://gutenbergtimes.com/mullenweg-on-gutenberg-roll-out-plan/
5. https://wptavern.com/automattic-acquires-tumblr-plans-to-rebuild-the-backend-powered-by-wordpress
6. https://venturebeat.com/2019/09/19/wordpress-com-parent-automattic-raises-300-million-from-salesforce-at-a-3-billion-valuation/
7. https://techcrunch.com/2019/09/19/automattic-ceo-matt-mullenweg-about-raising-300-million-and-the-open-web/

Има няколко нюанса които в момента ти убягват навярно, но следващия месец ще съм в Берлин на едно събитие и може на живо ти ги разясня.
 

katsar0v

Active Member
Благодаря за линковете. Не виждам какво конкретно имат линковете и роадмапа с отвореното api което е като съкровище за хилядите експлойти онлайн (сигурно).

Съвет: следващия път може да я караш направо.

PS: Понеже в първия пост питах, ще питам и тук: какво мислите по въпроса или какво е вашето мнение? Някой ако реши да пише конско или под собствен контекст, то нека го направи на лично, а не по темата.
 
Последно редактирано:
  • Like
Реакции: Sky

ReminD

Well-Known Member
Е то е публична тайна, че wordpress си е проблемен откъм сигурност, за справка от 2 седмици в deepweb се върти някакъв 0 day exploit от ядрото на WP, но искат луди пари ( 45 000$ ). Пък като сложим плъгините, където Ракеш и Макеш от Индия не са чували за mysql injection или IDOR, нещата стават смешни.
 

katsar0v

Active Member
Относно плъгините - прав си, всеки може да напише плъгин и да го публикува. Но не всеки може да програмира

Относно сигурността на WordPress - не казвам, че е перфектна, но чистата инсталация си е сравнително сигурна. Имайки в предвид, че Wordpress се използва от около 30% от интернет сайтовете е ясно, че ще се дирят експлойти и подобни.

Рест апи беше написан с цел wordpress да може да се използва по-лесно като headless приложение, тъй като хората правят това от години със системата. Само, че още не разбирам, що аджеба е публично..
 

mobilio

Well-Known Member
След къртенето и преместването мога да пиша.

Има един термин който навярно ти е неизвестен - headless CMS. До сега WP не беше такъв.

Класическите CMS-и генерират HTML като използват базата и темплейта. Ако искаш нещо по-така - НЯМА!
И ще трябва сам да си пишеш плъгин който да прави това, плъгин за онова.
Отделно WP не поддържа React, Angular, Vue и т.н.

Сега със headless CMS нещата минават на друго ниво. Правиш си един JS дето бутстрапва и после си вика APIто за да рендира някакъв HTML директно на браузъра. По същия начин правиш мобилно приложение - просто си викаш APIто и си го парсваш.

Другата причина за REST е Гутенберг... виж фазите на Гутенберга, доста са важни.

Третата причина е, че поетапно ще се мигрира и админ интерфейса към REST.
 

katsar0v

Active Member
Гутенберг може спокойно да си работи с апи-то, а то да е само за юзъри с права... лесна работа :)

headless wordpress съществува от години и термина ми е познат, хората използват бекенда с реакт, angular и подобни извращения, явно не си видял и другите ми коментари из форума, но това е отделна тема.

Доста хора определят кода на Wordpress като "спагети с кюфтета", тъй като не се следват популярни принципи на софтуерния дизайн. Хората са решили да направят нещо като "MVC" от системата, тъй като излезе доста читава и хоп, отнякъде дойде идеята за headless към wordpress. Но тук пак се отклоняваме от темата.

Никъде не съм видял wordpress официално да върви по тази пътека, а и това не е причина апи-то да поства такива неща публично, тъй като има стотици методи за оторизация.

Админ интерфейса е може би нещото което търпи най-бавно промени.. освен може би Gutenberg, но може би от почти 1.х самия дизайн на интерфейса не се е променил драстично, а едва с Гутенберг се ползва рест апи.

Headless и Gutenberg технически не са аргументи защо едно апи трябва да пуска всичко публично.

PS: А и доста големи уебсайтове ще си навлекат проблеми с EU GDPR. Тук в Германия се съдят за добро утро за такива работи ;)

PS 2: От всичките кампове тук - https://central.wordcamp.org/schedule/ - един не успях да намеря където да обсъждат тази headless тема. А общоевропейския беше в Берлин, също нищо не се спомена
 
Последно редактирано:

Станимир И

Active Member
Е то е публична тайна, че wordpress си е проблемен откъм сигурност, за справка от 2 седмици в deepweb се върти някакъв 0 day exploit от ядрото на WP, но искат луди пари ( 45 000$ ). Пък като сложим плъгините, където Ракеш и Макеш от Индия не са чували за mysql injection или IDOR, нещата стават смешни.
Привет, няма система без проблеми към сигурността.... стандартно продукт като Wordpress да има проблеми, защото се ползва от много хора. Вземи прочети малко ще разбереш колко хора ползват Wordpress само в България.

Поздрави,
Станимир
 

ReminD

Well-Known Member
Привет, няма система без проблеми към сигурността.... стандартно продукт като Wordpress да има проблеми, защото се ползва от много хора. Вземи прочети малко ще разбереш колко хора ползват Wordpress само в България.

Поздрави,
Станимир
Това е ясно, колкото по-масова е системата, толкова повече vulns ще се търсят и ще има 0 days, отделно с толкова много плъгини, грешки колкото искаш. Когато е custom based, се отива в black boxing testing и хвърляш зарове за повечето неща, ако ще търсиш уязвимости.
 

Станимир И

Active Member
Това е ясно, колкото по-масова е системата, толкова повече vulns ще се търсят и ще има 0 days, отделно с толкова много плъгини, грешки колкото искаш. Когато е custom based, се отива в black boxing testing и хвърляш зарове за повечето неща, ако ще търсиш уязвимости.
Привет, абсолютно съм съгласен със твоето мнение, за жалост е така. Има много хора които изкарват пари от болката на други, което е тъжно. При един хакнат сайт, доста хора губят, според мен сайтове на някакви хора примерно мен или теб няма нужда, но някой намират смисъл да тормозят други.

Аз не съм фен на WP, но е добра система и перфектна за стартови и малки проекти тип сайт на правителство, блог, нещо лично и малко или магазинче.

Поздрави,
Станимир
 

katsar0v

Active Member
Не е задължително да си му фен :)

И windows 10 притежава повече от 1/3 от пазара за десктоп ОС, но не съм му фен. Windows има повече бъгове и грешки повече отколкото който и да е бил друг софтуер - защото се използва от най-много хора и за тази ОС има най-много написани приложения (даже и от "ракеш" и "макеш" от индия).

Windows 10 в чистата си инсталация, както WordPress, е сравнително сигурен, само дето се надявам WordPress да не тръгне по този път, където те следи за "подобряване на продукта" или пуска информация свободно.
 

Noke

Well-Known Member

KISS

Active Member
Потребителското име и граватара са си публични данни. За кои данни е проблема? Разкриват ли се лични данни?
 

katsar0v

Active Member
Пароли и мета данни не се разкриват, нито имена :)

Но в над 50% от сайтовете, потребителското име е често {first_name}_{last_name}, и тази практика е пределно ясна на девелопърите, да не говорим че и потребителски имена от типа "Конски Пръч" също са позволени (главни букви и разстояния).

Това вече може да се счита за лични данни. Сайтове използващи плъгини като bbPress, Ultimate Member и подобни простотии, със сигурност изпускат "лични данни" по тези апи-та :)

Чисто технически си прав, потребителското име и граватара (който е md5 от имейла) не са лични данни. Тук са публикувани всички апи-та: https://developer.wordpress.org/rest-api/reference/

Някои показват кои файлове са качени, какви категории има. A началния ендпойнт показва и списък с плъгините които ползват апи (ако не са го изключили), което си е потенциална дупка в сигурността, защото знаем, че плъгините са едно от най-слабото звено на WordPress.
 

Noke

Well-Known Member
Да речем че РЕСТ АПИ-то позволява да изкормиш повечето ВП сайтове и да докопаш неща, които иначе биха били или трудни за достигане (като да скрейпнеш всички урл-та с надеждата да намериш това дето ти трябва) или невъзможни.

Друг аспект е че регнатите юзъри остават с идеята, че ако не постнат публично нещо, а само са си го въвели в профила или ъплоуднали, то ще си остане скрито... Един вид кофти и неинтуитивен юзър експириънс в най-леките случаи.
 

katsar0v

Active Member
Също и е много удобно за търсене на експлойти. Имаш примерно списък 1000 wordpress сайта и един ден се открива един голям бъг в даден плъгин. /wp-json/ адреса има един обект "routes" който показва кои плъгини ползват апи-то, търсиш с един скрейпър и хоп от тези 1000 сайта, 15 ползват плъгина, 15 са изгоряли. Това е само теоритичната и потенциалната заплаха в сигурността. Разбира се един плъгин може да се премахне от този списък (на апи-тата) и самия списък да се спре, но мислите ли, че масовите wordpress потребители го правят това?

Интересно как ще се развият нещата... но търсенето на експлойти и инсталирани плъгини със сигурност e една идея по-лесно откакто има wordpress 4.7
 

KISS

Active Member
Може би трябва да има по-ясна индикация, за това кое точно е публично и кое е скрито тогава. За да знаят примерно като си въвеждат имената в потребителското име.

Това за списъка с плъгини, не е приятно, но само защото самите плъгини имат дупки. Иначе името на папката на ползваните плъгини е публична информация явно, щом се вижда и в сорс кода на фронт-енда по разните файлове дето добавят.
 

Горе