N

a samym początku należy zaznaczyć, że stanowisko projektu WordPress jest jednoznaczne w tej sprawie: nie uznaje nazw użytkowników ani identyfikatorów użytkowników za prywatne lub bezpieczne informacje. Nazwa użytkownika jest częścią Twojej tożsamości online. Ma na celu identyfikację, a nie weryfikację tego, kim jesteś. Weryfikacja jest zadaniem hasła. Ogólnie rzecz biorąc, ludzie nie uważają nazw użytkowników za tajne, często udostępniając je otwarcie. Ponadto wiele dużych firm internetowych – takich jak Google i Facebook – zrezygnowało z nazw użytkowników na rzecz adresów e-mail, które są udostępniane w sposób ciągły i swobodny. WordPress również przeniósł się na ten sposób, umożliwiając użytkownikom logowanie się przy użyciu adresu e-mail lub nazwy użytkownika od wersji 4.5.

Niezależnie od ich stanowiska informacje te mogą zostać wykorzystane przez boty, które przeprowadzają ataki polegające na zgadywaniu haseł na stronach opartych o WordPress. Mogą używać interfejsu API do wyświetlania nazw użytkowników, którzy opublikowali posty w danej witrynie. Lista użytkowników wyświetlana za pośrednictwem tego interfejsu API prawie zawsze obejmuje użytkownika z dostępem na poziomie administratora. Jak to sprawdzić? Wystarczy odwiedzić stronę pod adresem URL:

https://strona-wp.pl/wp-json/wp/v2/users
https://strona-wp.pl/wp-json/wp/v2/users?page=$X
https://strona-wp.pl/wp-json/wp/v2/users/$X

Spowoduje to wyświetlenie listy użytkowników, którzy opublikowali post. Obejmuje to identyfikator użytkownika, nazwę użytkownika, gravatar, adres URL i opis. Jeśli chcemy ograniczyć te informacje tylko dla zalogowanych użytkowników możemy wykorzystać plugin Disable WP REST API. API WordPress’a identyfikujące użytkowników w wersji 4.7 miało też swoje problemy poprzez brak walidacji, którzy użytkownicy mają być wyświetlani w listingu.

Więcej informacji: Using the REST API