Tag sicurezza

Disattivare rest API elenco utenti

Di in Wordpress Tag ,

Ecco il codice da inserire all’interno del functions.php del vostro tema wordpress per disattivare l’accesso all’elenco degli utenti o l’accesso alle informazioni di un utente tramite la chiamata REST API di wordpress.
Questo per aumentare la sicurezza del vostro sito web.

add_filter( 'rest_endpoints', function( $endpoints ){
    if ( isset( $endpoints['/wp/v2/users'] ) ) {
        unset( $endpoints['/wp/v2/users'] );
    }
    if ( isset( $endpoints['/wp/v2/users/(?P<id>[\d]+)'] ) ) {
        unset( $endpoints['/wp/v2/users/(?P<id>[\d]+)'] );
    }
    return $endpoints;
});

Questo invece (SCELTA CONSIGLIATA) per disattivare le REST API agli utenti non autenticati:

add_filter( 'rest_authentication_errors', function( $result ) { 
if ( ! empty( $result ) ) { return $result; } 
if ( ! is_user_logged_in() ) { 
         return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) ); 
} 
return $result; 
});

se invece volete disattivare completamente tutte le REST API inserire questo:

add_filter( 'rest_authentication_errors', 'wp_snippet_disable_rest_api' );
function wp_snippet_disable_rest_api( $access ) {
     return new WP_Error( 'rest_disabled', __('The WordPress REST API has been disabled.'), array( 'status' => rest_authorization_required_code()));
}

Aumentiamo la sicurezza del nostro sito

Di in Joomla, Wordpress Tag
siti web trento differenza joomla wordpress

siti web trento differenza joomla wordpressUna delle cose fondamentali da eseguire quando si crea un nuovo sito in wordpress o Joomla è quello di evitare di utilizzare il nome utente che di default consiglia il CMS: admin.

La situazione si diversifica in base al tipo di CMS che intendete utilizzare e vedremo ora in dettaglio cosa è meglio fare sia con un CMS che con l’altro.

[wp_ad_camp_1]

WORDPRESS

Quando si crea un nuovo sito con wordpress, la configurazione automatica vi propone il nome utente per l’amministrazione: admin noi vi consigliamo di cambiare già in fase di configurazione di non chiamare il vostro utente amministratore con tale nome ma impostare direttamente il vostro nuovo nome utente amministratore questo perchè una volta creato l’utente non sarà più possibile modificarlo ma sarà necessario eliminare l’utente (nel caso sia già stato creato) solo dopo aver creato un altro utente con gli stessi privilegi. Un’altra cosa che vi consiglio di fare quando installate un CMS wordpress è quello di non utilizzare il prefisso standard per le tabelle del vostro database “wp_” ma ti impostarne uno diverso questo perchè tutti questi STANDARS potrebbero facilitare l’intrusione di qualche hacker.

Quindi:

nome utente wordpress: NON UTILIZZATE ADMIN

prefisso tabelle: NON UTILIZZARE IL PREFISSO “wp_”

JOOMLA:

Anche per joomla vale la stessa regola per quanto riguarda il nome utente admin, solo che vi è una piccola particolarità. Quando Joomla installa il vostro nuovo sito crea sempre l’utente admin o il nome da voi prescelto con l’id 62, quello che vi consigliamo di fare in questo caso è di declassare, una volta creato un utente superuser di pari diritti, l’utente iniziale (che chiameremo admin) ad utente registrato di modo che se qualche hacker riuscisse ad intercettare questo utente non potrà avere i diritti per provocare eventuali danni.

Vi ricordo che queste sono solo precauzioni e non sono le uniche opzioni di sicurezza da applicare per rendere più sicuro il vostro sito, ce ne sono molte altre che se volete approfondiremo più avanti.

©2021 AGANIS WEB SOFTWARE di Francesca Roccabruna P.IVA TRENTO 02183500228 - N.REA 205930 La Web Agency per la realizzazione del tuo sito web
Privacy Policy