Llevas meses preparando contenidos. Te has gastado una cantidad desorbitada de dinero en una cámara, un portátil nuevo, luces…
Has preparado tu curso online y de pronto, miras los logs y ves que hay unas direcciones IP que no sabes cómo, están viendo tu contenido gratis.
Esto es un drama de primer nivel, pero calma, hay solución a este problema.
En primer lugar, los sitios de miembros están preparados para restringir contenidos a los usuarios pero no suelen ser muy eficientes con los motores de búsqueda. Si actúas como un motor de búsqueda encontrarás el contenido.
¿Por qué mi sitio de miembros muestra mi contenido?
Básicamente, porque tú le estás dejando hacerlo.
Como hemos explicado en otras entradas, WordPress por defecto hace muchas cosas y otras muchas no. Cuantas más variables le pongas, más atención tendrás que poner en todos los sentidos.
Tu sitio está mostrando tu contenido gracias a la REST API.
Y, ¿Qué narices es eso y por qué me está haciendo perder dinero?
De manera muy muy resumida, la REST API te permite consultar y administrar los datos de tu web sin necesidad de una interfaz web.
Cuando tienes un sitio en modo mantenimiento o con algunos plugins de miembros, la REST API sigue pintando los datos cuando los solicitas desde la llamada a la API.
Si quieres hacer la prueba, usa el explorador FireFox y los datos te los interpretará de manera ordenada.
La llamada se hace desde:
la_url_de_tu_web/index.php/wp-json/wp/v2/posts
la_url_de_tu_web/index.php/wp-json/wp/v2/pages
Es por esto que, incluso desde el inicio o la creación de una web, es muy importante pensar en la seguridad desde el día 1.
Figura 1. Imagen real de WordPress en modo de mantenimiento.
Figura 2. Imagen real de WordPress mostrando datos en modo de mantenimiento (Ocultos para no vulnerar la privacidad del sitio).
Vale, la prueba está muy bien pero a mi no me afecta.
Créeme. Te afecta y mucho.
Si vendes algo solo por suscripción o tus entradas están protegidas por algún plugin de membresía, mucho cuidado.
Si usas, por ejemplo, YouTube con videos en modo oculto para tus cursos, la REST API está exponiendo tu contenido tal y como lo vería una máquina. Por lo tanto, podemos concluir que tu contenido privado está siendo expuesto.
🎖#PROTIP: En VIMEO PRO esto no pasa si usas el filtro por dominio. Esto es debido a que, incluso con el enlace absoluto de tu video, el contenido no se puede reproducir, ya que solo deja hacerlo si ese video es llamado desde tu dominio.
Otro supuesto sería que, por esta mala configuración en tu sitio de miembros, las URL absolutas de los PDF de tus cursos, los tuvieras en /wp-uploads/ tan solo con la protección del plugin de miembros. Por lo que, al poder ver tu código desde la llamada a la REST API, se vería la url absoluta de tu pdf.
¿A que mola?
Me has convencido ¿Cómo lo arreglamos?
La solución fácil es deshabilitar la REST API para que solo sea visible para el usuario que haya iniciado sesión.
Puedes usar varias soluciones:
Disable REST API – Enlace al plugin
Ithemes Security – Enlace al plugin
Figura 3. Imagen real de WordPress con la REST API solo disponible para usuarios que hayan iniciado sesión.
Conclusiones
- Desde su introducción en 2016, la REST API ha proporcionado una potente herramienta para control y gestión de los sitios de WordPress.
- Como norma general, te recomendamos que siempre apliques el principio de privilegio cero.
- Que tu WordPress fugue información no es una broma si tu contenido no tiene que ser visto por no usuarios.
- Algunos plugins de membresía o de mantenimiento, no contemplan esto en su desarrollo, ten cuidado y haz la prueba.
Si te pierdes o necesitas ayuda para tu actividad profesional, no dudes en contactarnos. Te ayudaremos encantados.
¿Cuál es su opinión sobre la REST API? ¿Has hecho la prueba? ¿Qué ha salido?
