Protejer JSON REST API

Como proteger o teu site WordPress contra ataques via REST API

Um dos maiores ataques recentes contra sites desenvolvidos em WordPress teve origem numa vulnerabilidade existente na REST API. O ‘bug’ chegou ao WordPress pela introdução no core dos endpoints da REST API, na versão 4.7 e continuou pela 4.7.1. A falha de segurança permitia a um atacante alterar o conteúdo de qualquer artigo.

O pior de tudo, acentuando a gravidade do problema, é que o ataque em si é tão simples como fazer download de um script, apontar a um domínio e, se a versão do WordPress coincidir, usar a REST API para trocar o conteúdo de qualquer artigo.

Acreditem. Eu tentei e fui bem sucedido.

Continuar a ler “Como proteger o teu site WordPress contra ataques via REST API”