Поддержка Проблемы и решения WP-JSON палит логин администратора

  • ссылки аля site.ru/wp-json доступны из вне любому, и там палится логин администратора т.к. от него создавались все страницы.
    что это вообще за фигня и стоит ли с ней бороться?

Просмотр 5 ответов — с 1 по 5 (всего 5)
  • Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    и там палится логин администратора

    Логин не является секретной информацией.

    Для поддержания безопасности в общем случае рекомендуется:

    • Иметь надёжные пароли (от 24 символов, с цифрами и спецсимволами).
    • Не давать права администратора и редактора случайным людям.
    • Плагины и темы скачивать только с официальных ресурсов.
    • Своевременно обновляться.

    Можно также настроить двухэтапную аутентификацию с помощью Google Authenticator.

    Модератор Yui

    (@fierevere)

    ゆい

    если не хотите чтобы можно было получать список пользователей сайта,
    плагины безопасности, например
    https://ru.wordpress.org/plugins/wp-cerber/
    могут это затруднить.

    а wp-json вообще можно сделать Noindex или он имеет какоето значение?

    что это вообще за фигня и стоит ли с ней бороться?

    а wp-json вообще можно сделать Noindex или он имеет какоето значение?

    Добрый день!

    Адреса wp-json/ предназначены для поддержки REST API.

    Грубо говоря, это технология обмена данными с сайтом, которая позволяет управлять контентом удалённо. Например, искать или публиковать посты через собственное мобильное приложение, сделать нестандартную админку или какую-нибудь надстройку, типа системы учёта клиентов. То есть REST используется в основном там, где нужно расширить возможности сайта и превратить его в сервис, обслуживающий внешние запросы.

    Формально, начиная с версии 5.x REST API является частью администраторского интерфейса и отключать его не рекомендуется (англ.). Потому что API используется новым блочным редактором.

    Тем не менее, при желании можно закрыть доступ к API для незалогиненных пользователей. Подробности есть в официальной документации по ссылке выше или в неофициальной на русском.

    Если вы не хотите возиться с фильтрами и вникать, можно попробовать плагин Disable REST API.

    Модератор Yui

    (@fierevere)

    ゆい

    а wp-json вообще можно сделать Noindex

    он и не индексируется
    там запрет через X-robots: тег в заголовках

Просмотр 5 ответов — с 1 по 5 (всего 5)