Wordpress wp-json/wp/v2/users açığını, brute force saldırılara karşı nasıl kapatabilirim?
"wp-json/wp/v2/users" açığı, WordPress'in REST API'sindeki kullanıcı bilgilerine erişimi sağlayan bir endpoint'tir. Bu endpoint, kimlik doğrulaması olmadan herhangi biri tarafından erişilebilir olabilir ve bu nedenle bir güvenlik riski oluşturabilir.
Bu açığı kapatmanın birkaç yolu vardır:
- En kolay yöntem, bir güvenlik eklentisi yüklemektir. Bu eklentiler, REST API'yi devre dışı bırakabilir veya kullanıcı erişimini sınırlayabilir.
- "functions.php" dosyasına aşağıdaki kodu ekleyerek "wp-json/wp/v2/users" endpoint'ini devre dışı bırakabilirsiniz:
/************************************************* ## wp-json/wp/v2/users brute force engelleme *************************************************/ add_filter( 'rest_endpoints', function( $endpoints ){ if ( isset( $endpoints['/wp/v2/users'] ) ) { unset( $endpoints['/wp/v2/users'] ); } return $endpoints; }); - Apache veya Nginx sunucusu kullanıyorsanız, .htaccess veya nginx.conf dosyasına aşağıdaki kodu ekleyerek "wp-json/wp/v2/users" endpoint'ini engelleyebilirsiniz:
# Block access to the /wp-json/wp/v2/users endpoint <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{REQUEST_URI} ^.*wp-json/wp/v2/users.*$ RewriteRule ^(.*)$ - [F] </IfModule>
Bu yöntemlerin herhangi birini kullanarak "wp-json/wp/v2/users" endpoint'ini kapatabilir ve WordPress sitenizi daha güvenli hale getirebilirsiniz. Ancak, bu endpoint'in kapatılması, REST API'yi kullanarak sitenize veri gönderen veya alacak olan uygulamalarınızı etkileyebilir, bu nedenle dikkatli olmanız önemlidir.
