馃毃Consejos de Seguridad: Tu WordPress est谩 fugando informaci贸n.

Llevas meses preparando contenidos. Te has gastado una cantidad desorbitada de dinero en una c谩mara, un port谩til nuevo, luces…

Has preparado tu curso online y de pronto, miras los logs y ves que hay unas direcciones IP que no sabes c贸mo, est谩n viendo tu contenido gratis.

Esto es un drama de primer nivel, pero calma, hay soluci贸n a este problema.

En primer lugar, los sitios de miembros est谩n preparados para restringir contenidos a los usuarios pero no suelen ser muy eficientes con los motores de b煤squeda. Si act煤as como un motor de b煤squeda encontrar谩s el contenido.

驴Por qu茅 mi sitio de miembros muestra mi contenido?

B谩sicamente, porque t煤 le est谩s dejando hacerlo.

Como hemos explicado en otras entradas, WordPress por defecto hace muchas cosas y otras muchas no. Cuantas m谩s variables le pongas, m谩s atenci贸n tendr谩s que poner en todos los sentidos.

Tu sitio est谩 mostrando tu contenido gracias a la REST API.

Y, 驴Qu茅 narices es eso y por qu茅 me est谩 haciendo perder dinero?

De manera muy muy resumida, la REST API te permite consultar y administrar los datos de tu web sin necesidad de una interfaz web.

Cuando tienes un sitio en modo mantenimiento o con algunos plugins de miembros, la REST API sigue pintando los datos cuando los solicitas desde la llamada a la API.

Si quieres hacer la prueba, usa el explorador FireFox y los datos te los interpretar谩 de manera ordenada.

La llamada se hace desde:

la_url_de_tu_web/index.php/wp-json/wp/v2/posts
la_url_de_tu_web/index.php/wp-json/wp/v2/pages

Es por esto que, incluso desde el inicio o la creaci贸n de una web, es muy importante pensar en la seguridad desde el d铆a 1.

Figura 1. Imagen real de WordPress en modo de mantenimiento.

Figura 2. Imagen real de WordPress mostrando datos en聽modo de mantenimiento (Ocultos para no vulnerar la privacidad del sitio).

Vale, la prueba est谩 muy bien pero a mi no me afecta.

Cr茅eme. Te afecta y mucho.

Si vendes algo solo por suscripci贸n o tus entradas est谩n protegidas por alg煤n plugin de membres铆a, mucho cuidado.

Si usas, por ejemplo, YouTube con videos en modo oculto para tus cursos, la REST API est谩 exponiendo tu contenido tal y como lo ver铆a una m谩quina. Por lo tanto, podemos concluir que tu contenido privado est谩 siendo expuesto.

馃帠#PROTIP: En VIMEO PRO esto no pasa si usas el filtro por dominio. Esto es debido a que, incluso con el enlace absoluto de tu video, el contenido no se puede reproducir, ya que solo deja hacerlo si ese video es llamado desde tu dominio.

Otro supuesto ser铆a que, por esta mala configuraci贸n en tu sitio de miembros, las URL absolutas de los PDF de tus cursos, los tuvieras en /wp-uploads/ tan solo con la protecci贸n del plugin de miembros. Por lo que, al poder ver tu c贸digo desde la llamada a la REST API, se ver铆a la url absoluta de tu pdf.

驴A que mola?

Me has convencido 驴C贸mo lo arreglamos?

La soluci贸n f谩cil es deshabilitar la REST API para que solo sea visible para el usuario que haya iniciado sesi贸n.

Puedes usar varias soluciones:

Disable REST API – Enlace al plugin

Ithemes Security – Enlace al plugin

Figura 3. Imagen real de WordPress con la REST API solo disponible para usuarios que hayan iniciado sesi贸n.

Conclusiones

  • Desde su introducci贸n en 2016, la REST API ha proporcionado una potente herramienta para control y gesti贸n de los sitios de WordPress.
  • Como norma general, te recomendamos que siempre apliques el principio de privilegio cero.
  • Que tu WordPress fugue informaci贸n no es una broma si tu contenido no tiene que ser visto por no usuarios.
  • Algunos plugins de membres铆a o de mantenimiento, no contemplan esto en su desarrollo, ten cuidado y haz la prueba.

Si te pierdes o necesitas ayuda para tu actividad profesional, no dudes en contactarnos. Te ayudaremos encantados.

驴Cu谩l es su opini贸n sobre la REST API? 驴Has hecho la prueba? 驴Qu茅 ha salido?

Si te ha gustado est谩 publicaci贸n, no te olvides de compartirla en tus redes. Si no te ha gustado, puedes poner una reclamaci贸n aqu铆.

Archivado en:

Deja una respuesta

Tu direcci贸n de correo electr贸nico no ser谩 publicada. Los campos obligatorios est谩n marcados con *

Rellena este campo
Rellena este campo
Por favor, introduce una direcci贸n de correo electr贸nico v谩lida.
Tienes que aprobar los t茅rminos para continuar

Contenido similar que podr铆a interesarte: