从WP REST API中排除暴露的ACF端点 - 腾讯云开发者社区

文章/答案/技术大牛

发布

WordPress JSON REST API简单介绍及使用

WordPress JSON REST API (WP API) 简介这个插件（WordPress JSON REST API (WP API)）提供了一个易于使用的REST API，让我们可以通过...WP API为WP查询创建了一个简单而方便的接口，文章API，文章元数据API，用户API，版本API等等。WordPress能做的事情，WP API同样可以让你做到，并且更加方便。...WP API同时还包含了方便使用的基于Backbone models的Javascript API，这就允许插件和主题开发者无需了解任何任何细节即可进行开发。...WordPress JSON REST API (WP API)的使用 WP REST API插件的使用还是非常简单的，在Wordpress后台下载安装好WP REST API插件后，启用插件，注意...注意：只有 “公开” 查询参数可以通过API使用，因为不是所有的查询参数可以安全的暴露出来。只有具有edit_posts权限的授权用户才能使用 “私有” 查询参数。

2.4K1 0

WordPress REST API 内容注入漏洞分析

漏洞简介在REST API自动包含在Wordpress4.7以上的版本，WordPress REST API提供了一组易于使用的HTTP端点，可以使用户以简单的JSON格式访问网站的数据，包括用户，帖子...0x02 漏洞分析其实漏洞发现者已经给出了较为详细的分析过程，接下来说说自己在参考了上面的分析后的一点想法。 WP REST API 首先来说一下REST API。...控制器 WP-API中采用了控制器概念，为表示自愿端点的类提供了标准模式，所有资源端点都扩展WP_REST_Controller来保证其实现通用方法。...我们看一下/wp-includes/rest-api/endpoints/class-wp-rest-post-controller.php： ?...从代码中可以看出，它是用wp_posts中的get_instance静态方法来获取文章的，跟进wp_posts类，位于/wp-includes/class-wp-post.php中： public static

4.1K7 0

您找到你想要的搜索结果了吗？

是的

没有找到

枚举 WordPress 用户的 6 种方法

如果你正在测试WordPress网站的安全性，你很可能要看一下REST端点。默认情况下，用户可以通过路由"/wp-json/wp/v2/users "列出。...推荐的方法是完全禁用REST API，安装一个禁用特定路径的安全插件，或者阻止特定的请求路径。 1....HTTP 参数“rest_route” 我们展示的第一个绕过是滥用替代路径到达同一端点。...rest_route=/wp/v2/users 绕过 2. WordPress.com API 第二种方法已经在之前关于 Jetpack 电子邮件公开披露的博客文章中进行了描述。...搜索在少数情况下，我们遇到了没有明确阻止的API，但/wp/v2/users端点没有返回avatar_urls属性。

5.1K2 0

在AI技术快速实现创意的时代，挖掘新需求成为核心竞争力——某知名内容管理系统能力框架需求探索

关键应用场景：主要面向插件和主题开发者、机构构建者以及未来的AI和自动化工具。该框架使得不相关的组件能够组合工作流程，实现统一的发现机制和安全性优先的权限控制。...功能特性能力注册与管理：提供标准化的能力注册接口，支持输入输出模式定义、权限回调和执行回调分类系统：支持能力按功能域进行分类组织，提供分类注册、查询和过滤功能REST API集成：通过REST端点暴露能力信息...：支持通过meta属性扩展能力描述，包括REST API可见性控制等使用说明该框架提供完整的开发者文档，包括入门指南、能力注册方法、使用方式以及REST API参考。...使用过程包括注册能力分类、定义能力参数、设置权限回调和执行逻辑，最终通过标准化的API进行能力发现和调用。...，统一返回WP_Error对象而非简单的布尔值，便于错误信息传递和处理（5）需求5：用户希望增加能力执行的生命周期钩子，在执行前后提供扩展点，支持监控、日志记录等功能扩展article id：10561e21aa0526738691e724bc7f8e2d

1221 0

WordPress Rank Math SEO插件任意元数据修改复现

0x02 漏洞概述 Defiant的Wordfence威胁情报团队在一个不受保护的REST-API端点中发现了Rank Math特权升级漏洞。...0x03 影响版本 rank math 插件<=1.0.41.1版本 0x04 环境搭建前置条件：插件（手动安装）： WP Rest API（https://cn.wp.xz.cn/plugins...php7.0） wordpress 4.9.0（由于rank math的问题，必须至少大于这个版本）激活rest-api后，在“固定链接”中设置固定链接为“文章名”。...image.png •admin： image.png 管理者的wp_user_level是10，而订阅者的wp_user_level是0 api信息： ?...从api中可以看到修改元数据的接口，请求方式为POST http://127.0.0.1/wordpress/wp-json/rankmath/v1/updateMeta 找到接口，我们需要查看接口需要什么参数

1.3K2 0

WordPress未经身份验证的远程代码执行CVE-2024-25600漏洞分析

还有一个代码元素可用于此漏洞利用，但在本文中，我们将重点关注第 5 行中的代码路径。该方法可通过 admin-ajax.php 端点和 WordPress Rest API 调用。...() ) { // REST API (Permissions checked in the API->render_element_permissions_check())}Ajax::verify_request...代码注释：REST API（在 API->render_element_permissions_check() 中检查权限）表示此检查是否在 WP 的 REST API 的权限回调中执行。...有一个脚本标记，其中包含一个“ bricksData”对象，该对象除其他外还包含一个有效的随机数。...二、修复快速修复很复杂，因为eval的用户输入的功能被利用到后端的多个部分当然，快速修复的方法是向 REST API 端点添加正确的权限检查。但这仍然留下了危险的功能，并且很可能通过其他方式调用它。

2.6K1 0

让Wordpress成为你微信小程序的文章管理利器

Wordpress管理后台下一步，我们要让外部程序可以更方便的调用Wordpress的功能，让我们可以通过REST API来操作和获取Wordpress中的数据。...安装并在插件管理页面启用这个插件以后（怎么安装和启用我不赘述了，简单的令人发指，自行搞定吧），我们就拥有了通过REST API操作Wordpresss的能力。...开发至此，小程序就可以直接调用暴露出来的Wordpress REST API了，例如： wx.request({ url: 'https://your-domain/wp-json/wp/v2/posts...，以及有可能对从Wordpress中的数据需要进行二次加工的便利性，我们推荐从主业务后端程序中发起对Wordpress的REST API调用。...我会从我的Node.js写的后端程序中发起对Wordpress REST API的调用，代码大致像这样的（其他后台语言可以做个参考）： post.service.js const request = require

8943 0

展示 Postlight 的 WordPress + React Starter Kit

这个入门单元会在两个阶段启动一个带有响应前端的 WordPress 后端，与 WP REST 编程接口进行对话。要使用它，请克隆保管库。...从那时起，你就可以开始从自己的 WordPress 站点引入信息，并根据自己的需要更改后端和前端。...你的网站或应用程序需要与一些 API 进行对话，你的 WordPress 内容只是其中之一，而使用 JavaScript 前端来做到这一点更简单。...WordPress 模块在 WP REST 编程接口（ACF 到 WP 编程接口和 WP-REST 编程接口 V2 菜单）中发现那些自定义字段和 WordPress 菜单。...一种使用 WP Move DB Master 有效地从网络上任何地方的当前 WordPress 机构引入信息的工具，并且它与模块一起使用（需要许可）。由 Next.js 控制的入门前端响应应用程序。

1.7K3 1

提高 WordPress 安全性，移除页面头部版本和服务发现代码

，所以最好不要暴露在页面： remove_action('wp_head', 'wp_generator'); RSD Really Simple Discovery（RSD）是XML格式的一种发布约定...p=13150' /> 但是这个可能暴露文章的 ID，而你不想让人知道的话，那就最好移除它： remove_action('wp_head', 'wp_shortlink_wp_head', 10, 0...); REST 它会在文章详情页的页面头部输出代码如下： api.w.org/" href="https://blog.wpjam.com/wp-json/" />...这个代码是用来告诉 APP 开发者，当前站点的 REST API 的地址，这个口头告诉一下就行了，没有必要在代码中输出： remove_action('wp_head', 'rest_output_link_wp_head...', 10, 0); remove_action('wp_head', 'rest_output_link_wp_head', 10);

4034 0

把 WordPress 变成 BaaS 服务：API 调用指南

写在前面首先，我们需要进行清晰的名词定义，这里指的 “API 调用”是能够通过外部程序访问的 WordPress API 可编程接口，而非 WordPress 暴露给内部生态系统中的主题、插件工具开发者使用的... 在 GitHub 社区中，曾经有过关于它的讨论[13]，从 2017 年开始，社区就在推荐大家使用 alias 功能重写 wp 命令，来将 --allow-root 参数添加到真实运行的命令中...方案二：WP REST API 虽然上文中提到了 WP REST API 当前的窘况，但好在目前 6.5.0 版本中，官方还是对它进行了支持，虽然没有明确文档告知用户该如何使用（应该是暂时减少支持工作消耗的开发同学的精力...“真”，来开启 WP REST API 能力。...WP REST API 的安全加固相比较 WP CLI，因为提供了 HTTP 访问，所以 WP REST API 的安全加固就相对麻烦一些。不过，有一部分 WP CLI 的策略是可以借鉴的。

6391 0

把 WordPress 变成 BaaS 服务：API 调用指南

写在前面首先，我们需要进行清晰的名词定义，这里指的 “API 调用”是能够通过外部程序访问的 WordPress API 可编程接口，而非 WordPress 暴露给内部生态系统中的主题、插件工具开发者使用的...方案二：WP REST API虽然上文中提到了 WP REST API 当前的窘况，但好在目前 6.5.0 版本中，官方还是对它进行了支持，虽然没有明确文档告知用户该如何使用（应该是暂时减少支持工作消耗的开发同学的精力...，来开启 WP REST API 能力。...WP REST API 的安全加固相比较 WP CLI，因为提供了 HTTP 访问，所以 WP REST API 的安全加固就相对麻烦一些。不过，有一部分 WP CLI 的策略是可以借鉴的。...当然，默认的情况下，当你访问需要登录用户操作的动作时，也是要进行鉴权的 rest-api/using-the-rest-api/authentication/。

6281 0

新曝WordPress REST API内容注入漏洞详解

在4.7.0版本后，REST API插件的功能被集成到WordPress中，由此也引发了一些安全性问题。...(2) 漏洞复现 ①根据REST API文档，修改文章内容的数据包构造如下： ?...漏洞发现之技术细节 Sucuri研究人员的漏洞发现过程始于./wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php ?...这种行为本身不失为一种防止攻击者编制恶意ID值的好方法，但是当查看REST API如何管理访问时，研究人员很快发现其给予$_GET 和$_POST值的优先级高于路由的正则表达式生成的值。...出于对是什么导致get_post()无法找到帖子（除ID不存在外）的好奇，研究人员意识到其使用wp_posts中的get_instance（）静态方法来抓取帖子。 ?

3.4K6 0

CVE-2024-25600：WordPress Bricks Builder RCE

，位于\wp-content\themes\bricks\includes\query.php中prepare_query_vars_from_settings函数中这段代码被用来执行用户提交的 PHP...的实例化，需要的条件就是loop_element为false，而其初始值为false，这里设置了ajax与rest api这两种请求方式。...接着往下看，这里需要注意一个地方，这里它会从elements中获取name，并且通过name 获取一个类，判断这个类是否存在，如果不存在会抛出doesn't exist内容，从而导致RCE失败在elements.php...api.php中存在命名相同的方法调用了Ajax#render_element，这里的api.php实际上是一个处理注册的 REST API 端点之一的文件继续搜索调用，找到在它的自定义初始化端点函数...，从中可以看到它定义了很多能够注册的REST路由，API_NAMESPACE的值就是/bricks/v1/，通过后面拼接某个字符串的方式触发对应的callback回调函数以及权限检查。

7091 0

超详细！一步一步教会你如何使用Java构建单点登录

这将配置对REST API的访问。在Okta开发人员控制台中，导航到应用程序，然后单击添加应用程序。选择服务，然后单击下一步。...取消选择除“ 授权码”之外的所有授权类型，然后单击“ 创建规则”。这样可以确保请求必须使用授权代码流才能使Okta创建令牌。这是所有可用OAuth流中最安全的流。...该@RestController注解告诉系统这个文件是一个REST API控制器，它只是意味着它包含API端点的集合。...每个get端点都使用@PreAuthorize注释来告诉系统调用应用程序必须具有指定的特定范围才能被授权。例如，如果/userEmail端点在没有email作用域的情况下被调用，它将抛出错误。...该@Controller注解告诉系统这个文件是一个REST API控制器。在这种情况下，只有一个端点处理GET对基本/URL的请求。

4.7K3 0

WP Engine推出AI驱动的WordPress网站搜索

他补充说，为了创造增强的搜索体验，智能搜索必须与 ACF 很好地配合。就目前而言，索引 ACF 是“WordPress 中搜索出了名的难题”。...“我们所做的是索引和映射你的 ACF 字段，开箱即用，点击一个按钮，无需自定义映射，无需简码，无需任何代码，你只需在智能搜索中默认索引所有 ACF 和所有自定义帖子类型，”他说。...他还说，智能搜索还使网站搜索变得更快，因为它将索引和搜索从 WordPress 卸载到专用搜索服务器，而不是访问你的 WordPress MySQL 数据库。...将搜索从 WordPress 数据库中卸载，并自动索引 ACF 字段中的所有自定义帖子类型——我们认为这是我们在此处 […] 独一无二的地方；再次希望以 WordPress 开发人员工作的方式工作，”他说...该公司表示，有一个插件可用，既可用作所见即所得体验的 UI 界面，也可用作更高级用户感兴趣的高级定制的 WP Engine API 界面。

7451 0

wordpress插件开发踩坑记

想要使用 REST API 需要自己额外安装插件：WordPress REST API，现在 WordPress 5.0以上的版本已经默认支持 REST API了，不需要额外去安装插件。...新站首次用 Postman 去访问 REST API 接口，如：http://EXAMPLE_URL/wp-json/wp/v2/posts，会发现返回的是 404，需要自己在管理后台将：设置-固定链接...-常用设置，设置为除“朴素”外的其他选项(建议选数字型)，再去请求就可以拿到数据了。...遇到的问题新加了一些 api 路由遇到的报错：1....Object 对象在PHP 中，有三种类型的数组：// 数值数组：以数字为键的数组，键从0开始自增$arr = ['zhou', 'xiao', 'hei'];// 关联数组：带有指定的键的数组，每个键关联一个值

9431 0

Java一分钟之-Spring Data REST：创建RESTful服务

Spring Data REST是Spring生态系统中的一个强大组件，它使得基于Spring Data的项目能够快速、便捷地对外暴露RESTful API，而几乎不需要编写任何控制器代码。...通过自动化的HTTP方法映射和链接关系的生成，Spring Data REST极大地简化了CRUD操作的API实现。...配置实体仓库创建实体类和对应的Repository接口，Spring Data REST会自动识别这些接口并暴露相应的REST端点。...自定义端点和行为虽然Spring Data REST高度自动化，但依然提供了丰富的定制选项，如通过注解改变资源路径、调整返回内容等。2....，成为快速构建RESTful API的优选方案。

3960 0

⚡REST 和 SOAP 协议有什么区别？

举个例子一个网站会根据你的搜索条件，返回航班、酒店或租车的最优惠信息。网站不会从它的数据库中检索这些数据，而是通过向专门提供航班、酒店等服务的 API 发送请求来获取数据的。...REST 和 SOAP 都是规范，为客户如何访问网络服务、与网络服务交互以及它们所暴露的功能提供了标准。如前文所述，REST 是一种 API 架构风格，而 SOAP 是一种数据传输协议。...* **Body（主体）：** 必需的部分，用于指定在提交请求后期望从 API 接收哪些信息返回。此部分包括函数名（过程）和你希望传递的参数，这些将影响结果。...从 GraphQL API 请求数据比使用 REST 更高效。使用 REST 时，有单独的资源 URL（有时多达数百个）来暴露 API 的功能。...## 总结REST 和 SOAP 都是为客户端访问和与 Web 服务交互以及其暴露的功能提供标准的规范。

1.4K0 0

WordPress小程序源码下载分享

WP小程序源码插件实现WP与小程序数据打通需要安装插件，推荐WordPress REST API 小程序插件免费开源 Mini Program API 插件后台截图 ?...WordPress 网站主题或者其他插件不能禁用 REST API 功能。如何验证网站是否禁止了 REST API 功能，只需要通过网站域名加上 /wp-json/ 访问检查是否正常。...这里需要注意一点，在检查是否正常之前，需要设置固定链接形式，除朴素外的任意一种。...如果 WordPress 版本大于 4.9.8（目前插件支持到 5.2.2 版本，并且支持古腾堡编辑器），同时，网站也支持 REST API 。那么基本上可以正常使用。安装插件后的界面 ?...代码修改指南下载获取前面提供的源码包解压压缩包后, 打开weTravel 文件夹 utils 目录下的 base.js 修改 base.js 里的 const API_HOST = '你的域名' /

3.1K3 0

安息吧 REST API，GraphQL 长存

REST API 有什么问题？ REST API 最大的问题是其多端点的本质。这要求客户端进行多次往返以获取数据。 REST API 通常是端点的集合，其中每个端点代表一个资源。...例如，READ REST API 端点可能是 GET /ResouceName - 从该资源获取所有记录的列表； GET /ResourceName/ResourceID - 获取该 ID 标识的单条记录...这对客户端和服务器而言都是网络和内存资源的浪费。 REST API 的另一大问题是版本控制。如果你需要支持多个版本，那通常意味着需要新的端点。...它们当然不是 REST API 的所有问题，我也不想讨论 REST API 是什么。我主要讨论的是比较流行的基于资源的 HTTP 端点 API。...这些 API 中的每一个最终都会变成一个具有常规 REST 端点 + 由于性能原因而制定的自定义特殊端点的组合。这就是为什么 GraphQL 提供了更好的选择。 GraphQL如何做到这一点？

3.4K3 0

点击加载更多

WordPress JSON REST API简单介绍及使用

WordPress REST API 内容注入漏洞分析

枚举 WordPress 用户的 6 种方法

在AI技术快速实现创意的时代，挖掘新需求成为核心竞争力——某知名内容管理系统能力框架需求探索

WordPress Rank Math SEO插件任意元数据修改复现

WordPress未经身份验证的远程代码执行CVE-2024-25600漏洞分析

让Wordpress成为你微信小程序的文章管理利器

展示 Postlight 的 WordPress + React Starter Kit

提高 WordPress 安全性，移除页面头部版本和服务发现代码

把 WordPress 变成 BaaS 服务：API 调用指南

把 WordPress 变成 BaaS 服务：API 调用指南

新曝WordPress REST API内容注入漏洞详解

CVE-2024-25600：WordPress Bricks Builder RCE

超详细！一步一步教会你如何使用Java构建单点登录

WP Engine推出AI驱动的WordPress网站搜索

wordpress插件开发踩坑记

Java一分钟之-Spring Data REST：创建RESTful服务

⚡REST 和 SOAP 协议有什么区别？

WordPress小程序源码下载分享

安息吧 REST API，GraphQL 长存

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐