@harrasteblogi JUURI NYT
--:--

Tilaa uutiskirje

Saat tuoreimmat 10 uusinta artikkelia kerran viikossa sähköpostiisi.

Tilaa uutiskirje

wp-json voi paljastaa enemmän kuin arvaat

17.10.2025 | Artikkeleita, IT, Kotisivut, Nettisivut, Tietoturva, Verkkokauppa, Verkkokehitys, Verkkosivut, Verkkotyökalu, WordPress

wp-json voi paljastaa enemmän kuin arvaat
Facebook X WhatsApp

wp-json voi paljastaa enemmän kuin arvaatWordPressin REST API eli wp-json on moderni rajapinta, joka mahdollistaa tiedon hakemisen ja käsittelyn JSON-muodossa. Sen avulla kehittäjät voivat rakentaa sovelluksia, mobiilikäyttöliittymiä ja ulkoisia integraatioita, jotka kommunikoivat WordPressin kanssa. Käytännössä REST API tarjoaa tavan lukea ja muokata sisältöä ohjelmallisesti ilman, että täytyy käyttää perinteistä hallintapaneelia.

Tiivistelmä
Miten wp-json voi paljastaa tietoja

REST API on oletuksena julkisesti käytettävissä kaikissa WordPress-asennuksissa. Tämä tarkoittaa, että kuka tahansa voi tehdä HTTP-pyynnön ja nähdä tietyt tiedot sivustosta — ilman kirjautumista. Usein...

Miksi tietovuoto on mahdollinen

WordPressin REST API on suunniteltu avoimeksi ja helppokäyttöiseksi, mutta se ei aina huomioi tietoturvan periaatteita. Julkaistun sisällön näkyvyys on oletuksena sallittu kaikille, eikä API vaadi...

Miten hyökkääjät käyttävät wp-json -tietoja

Hyökkääjä voi käyttää wp-jsonia tiedusteluun eli “reconnaissance”-vaiheeseen ennen varsinaista hyökkäystä. Tämä vaihe on olennainen osa WordPress-sivustoihin kohdistuvia hyökkäyksiä. Esimerkiksi:...

Kuinka tarkistaa, mitä oma wp-json paljastaa

Jokaisen WordPress-sivuston omistajan tulisi säännöllisesti tarkistaa, mitä tietoja hänen REST API -rajapintansa paljastaa. Voit tehdä sen helposti selaimella tai komentorivillä:...

Kuinka suojata wp-json ja REST API

Lisää seuraava koodinpätkä teeman functions.php-tiedostoon estääksesi käyttäjälistauksen:...

Mikä on turvallinen tapa hyödyntää REST APIa

Jos tarvitset REST APIa omassa kehitystyössä, varmista että käytät autentikointia (esim. JWT, OAuth tai Application Passwords). Näin vain luvalliset sovellukset voivat tehdä muutoksia tai lukea...

Esimerkki hyvästä REST API -turvakäytännöstä

Poista tai rajoita /wp/v2/users-päätepiste....

Yhteenveto

wp-json on voimakas työkalu, joka tekee WordPressistä joustavan ja modernin. Se mahdollistaa integraatiot, automaatiot ja sovellusten rakentamisen, mutta samalla se voi avata tietoturva-aukkoja, jos sitä...

Esimerkiksi osoitteessa https://sivusto.fi/wp-json/wp/v2/posts näkyy usein julkinen lista julkaistuista artikkeleista. Tämä on hyödyllistä kehittäjille, mutta samalla se voi avata oven tietoturvariskeille, jos API:n käyttöä ei ole rajoitettu oikein.

Miten wp-json voi paljastaa tietoja

REST API on oletuksena julkisesti käytettävissä kaikissa WordPress-asennuksissa. Tämä tarkoittaa, että kuka tahansa voi tehdä HTTP-pyynnön ja nähdä tietyt tiedot sivustosta — ilman kirjautumista. Usein näkyvillä on julkista tietoa, kuten artikkelien otsikot ja ID:t, mutta API saattaa paljastaa enemmän kuin sivuston omistaja ymmärtää.

Yleisimpiä tietoja, joita wp-json voi paljastaa:

  • Käyttäjätunnukset ja author-ID:t: Osoitteesta https://sivusto.fi/wp-json/wp/v2/users löytyy usein lista käyttäjistä, joiden rooli on kirjoittaja tai ylläpitäjä. Tämä on hyökkääjälle arvokas tieto, sillä käyttäjänimi on puolet kirjautumistiedoista.

  • Artikkeleiden ja sivujen ID-numerot: Näitä voidaan käyttää haavoittuvuuksien testaamiseen tai automatisoituihin hyökkäyksiin.

  • Mukautetut kentät ja metatiedot: Jos kehittäjä on jättänyt REST API -päätepisteet auki lisäosille tai teemoille, arkaluonteista tietoa (kuten sähköpostiosoitteita tai yksityisiä asetuksia) voi vuotaa julkisesti.

  • JSON-tietorakenne, joka paljastaa WordPress-version ja käytetyt lisäosat: Tämä helpottaa haavoittuvuuksien tunnistamista.

Miksi tietovuoto on mahdollinen

WordPressin REST API on suunniteltu avoimeksi ja helppokäyttöiseksi, mutta se ei aina huomioi tietoturvan periaatteita. Julkaistun sisällön näkyvyys on oletuksena sallittu kaikille, eikä API vaadi autentikointia tietojen lukemiseen. Jos sivuston kehittäjä ei tiedä, mitä päätepisteitä lisäosat tai teema lisäävät, hän ei välttämättä huomaa tietovuotoa lainkaan.

Monet lisäosat, kuten SEO-työkalut, lomakegeneraattorit ja analytiikkaratkaisut, käyttävät omaa REST API -päätepolkuaan. Tämä voi tarkoittaa, että esimerkiksi sähköpostiosoitteet, käyttäjien nimet tai jopa lomakkeiden vastaukset ovat julkisesti saatavilla JSON-formaatissa.

Miten hyökkääjät käyttävät wp-json -tietoja

Hyökkääjä voi käyttää wp-jsonia tiedusteluun eli “reconnaissance”-vaiheeseen ennen varsinaista hyökkäystä. Tämä vaihe on olennainen osa WordPress-sivustoihin kohdistuvia hyökkäyksiä. Esimerkiksi:

  1. Käyttäjälistaus:
    Hyökkääjä hakee osoitteen /wp-json/wp/v2/users ja saa selville käyttäjien tunnukset. Sen jälkeen voidaan yrittää kirjautua sisään brute force -menetelmällä tai testata tunnettuja salasanoja.

  2. Sisällön ja ID:iden kartoitus:
    Kun tiedetään artikkelien tai sivujen ID:t, hyökkääjä voi testata, onko jokin sisältö yksityinen mutta edelleen saatavilla suoraan API:n kautta.

  3. Versiotietojen keruu:
    wp-json paljastaa usein WordPress-version, teeman nimen ja joskus lisäosien versiot. Tämä auttaa etsimään tiettyyn versioon liittyviä haavoittuvuuksia.

  4. Tietovuodot mukautetuista API-päätepisteistä:
    Jos kehittäjä on jättänyt testipäätepisteen, kuten /wp-json/custom/v1/debug, se voi paljastaa palvelimen polkuja, sähköpostiosoitteita tai jopa käyttäjien tietoja.

Kuinka tarkistaa, mitä oma wp-json paljastaa

Jokaisen WordPress-sivuston omistajan tulisi säännöllisesti tarkistaa, mitä tietoja hänen REST API -rajapintansa paljastaa. Voit tehdä sen helposti selaimella tai komentorivillä:

Selaimessa:
Avaa osoite https://omadomain.fi/wp-json/ ja tarkista, mitä päätepisteitä näkyy. Jos listassa on wp/v2/users ilman rajoituksia, se on avoin.

WP-CLI-komennolla:
wp rest list
Tämä listaa kaikki aktiiviset REST-päätepisteet. Jos näet ylimääräisiä polkuja, joita et tunnista, ne kannattaa tarkistaa.

Turvallisuustyökalut:
Käytä lisäosia kuten Wordfence, WPScan tai Sucuri Security tarkistaaksesi, onko REST API -tietovuotoja havaittu. Ne voivat myös estää haitallisia API-pyyntöjä automaattisesti.

Kuinka suojata wp-json ja REST API

1. Rajoita pääsyä käyttäjätietoihin

Lisää seuraava koodinpätkä teeman functions.php-tiedostoon estääksesi käyttäjälistauksen:

add_filter('rest_endpoints', function($endpoints) {
if (isset($endpoints['/wp/v2/users'])) {
unset($endpoints['/wp/v2/users']);
}
return $endpoints;
});

Tämä poistaa /wp/v2/users-päätepisteen kokonaan julkisesta näkyvyydestä.

2. Käytä suojauslisäosia

Wordfence, iThemes Security ja All In One WP Security tarjoavat valmiita asetuksia REST API:n rajoittamiseen. Voit määrittää, että vain kirjautuneet käyttäjät pääsevät käsiksi tiettyihin tietoihin.

3. Käytä palomuuria ja IP-suodatusta

Jos palvelimesi sallii, rajoita wp-json -polun käyttö vain tietyille IP-osoitteille tai autentikoiduille käyttäjille.

4. Poista tarpeettomat päätepisteet

Monet lisäosat luovat automaattisesti API-päätepisteitä, joita et tarvitse. Poista ne käytöstä tai varmista, ettei niihin pääse ilman kirjautumista.

5. Käytä välimuistia ja CDN-suojausta

Pilvipohjainen palomuuri (esimerkiksi Cloudflare tai Sucuri Firewall) voi estää automatisoidut wp-json -haut, jotka yrittävät kerätä käyttäjätietoja.

Mikä on turvallinen tapa hyödyntää REST APIa

Jos tarvitset REST APIa omassa kehitystyössä, varmista että käytät autentikointia (esim. JWT, OAuth tai Application Passwords). Näin vain luvalliset sovellukset voivat tehdä muutoksia tai lukea suojattuja tietoja.

Lisäksi voit rajata vastauksissa näkyvät kentät. Esimerkiksi vain otsikko ja sisältö voidaan palauttaa, jos muita tietoja ei tarvita. Tämä onnistuu lisäämällä ?_fields=title,content API-pyyntöön.

Esimerkki hyvästä REST API -turvakäytännöstä

  1. Poista tai rajoita /wp/v2/users-päätepiste.

  2. Varmista, että vain kirjautuneet käyttäjät pääsevät muokkaamaan tai poistamaan sisältöä.

  3. Käytä HTTPS-protokollaa kaikessa viestinnässä.

  4. Kirjaa kaikki API-kutsut lokiin ja seuraa epäilyttävää toimintaa.

  5. Päivitä säännöllisesti WordPress ja kaikki lisäosat, jotka käyttävät REST APIa.

Yhteenveto

wp-json on voimakas työkalu, joka tekee WordPressistä joustavan ja modernin. Se mahdollistaa integraatiot, automaatiot ja sovellusten rakentamisen, mutta samalla se voi avata tietoturva-aukkoja, jos sitä ei hallita oikein. Jokaisen sivuston omistajan tulisi tarkistaa, mitä tietoja oma REST API paljastaa, ja rajoittaa näkyvyys vain tarpeelliseen.

Kun REST API suojataan, WordPress-sivustosta tulee yhtä aikaa tehokas ja turvallinen — eikä se paljasta enemmän kuin haluat.

📚 Aiheeseen liittyvät artikkelit

8 artikkelia
Facebook X WhatsApp
🍪

🛡️ Evästeet

Moderni tietosuojakeskus ja evästehallinta.
harrasteblogi.online · Versio 60000.0.0

Mitä evästeet ovat?

Evästeiden yleinen määritelmä

Evästeet ovat pieniä tekstitiedostoja, jotka verkkosivustot tallentavat käyttäjän laitteelle, kuten tietokoneelle, tabletille tai älypuhelimelle, verkkoselaimen välityksellä. Niiden tarkoituksena on helpottaa verkkosivustojen käyttöä, parantaa käyttäjäkokemusta sekä mahdollistaa sivuston tekninen toiminta. Evästeet ovat olennainen osa nykyaikaisia verkkopalveluja, sillä niiden avulla sivustot voivat tunnistaa käyttäjän ja muistaa hänen asetuksensa eri vierailukertojen välillä.

Miten evästeet toimivat?

Kun käyttäjä vierailee verkkosivustolla ensimmäistä kertaa, sivusto voi tallentaa selaimeen evästeen. Seuraavilla käyntikerroilla selain lähettää evästeen takaisin sivustolle, jolloin sivusto tunnistaa käyttäjän tai hänen aiemmat valintansa. Tämän ansiosta esimerkiksi kirjautumistiedot, kieliasetukset tai ostoskorin sisältö voidaan säilyttää käyttäjän seuraavaa vierailua varten.

Välttämättömät evästeet

Välttämättömät evästeet ovat tarpeen verkkosivuston perustoimintojen mahdollistamiseksi. Niiden avulla käyttäjä voi esimerkiksi kirjautua palveluun, käyttää suojattuja alueita tai lisätä tuotteita ostoskoriin. Ilman näitä evästeitä verkkosivusto ei välttämättä toimi tarkoitetulla tavalla.

Toiminnalliset evästeet

Toiminnalliset evästeet parantavat käyttökokemusta muistamalla käyttäjän valintoja ja asetuksia. Tällaisia voivat olla esimerkiksi kielivalinnat, sijaintiin liittyvät asetukset tai muut henkilökohtaiset mieltymykset. Näiden evästeiden avulla verkkosivusto voi tarjota käyttäjälle yksilöllisemmän ja sujuvamman käyttökokemuksen.

Analytiikkaevästeet

Analytiikkaevästeiden avulla kerätään tietoa verkkosivuston käytöstä. Ne auttavat sivuston ylläpitäjää ymmärtämään, miten kävijät käyttävät palvelua, mitkä sivut ovat suosituimpia ja miten sivuston toimivuutta voidaan kehittää. Kerätty tieto on yleensä koottua eikä sitä käytetä yksittäisten käyttäjien tunnistamiseen.

Markkinointi- ja kohdennusevästeet

Markkinointievästeitä käytetään käyttäjän kiinnostuksen kohteisiin perustuvan mainonnan näyttämiseen. Ne voivat seurata käyttäjän toimintaa eri verkkosivustoilla ja auttaa tarjoamaan sisältöä sekä mainoksia, jotka vastaavat paremmin käyttäjän tarpeita ja kiinnostuksen kohteita. Näitä evästeitä voivat asettaa myös kolmannet osapuolet, kuten mainosverkostot tai sosiaalisen median palvelut.

Evästeiden hallinta

Käyttäjällä on mahdollisuus hallita evästeiden käyttöä. Useimmat verkkoselaimet tarjoavat asetuksia, joiden avulla evästeitä voidaan hyväksyä, rajoittaa tai poistaa kokonaan. Lisäksi monet verkkosivustot tarjoavat evästeasetuksia, joiden kautta käyttäjä voi valita, mitä evästekategorioita hän haluaa hyväksyä.

Yksityisyys ja tietosuoja

Evästeiden käytössä on tärkeää huomioida käyttäjän yksityisyys ja henkilötietojen suoja. Verkkosivustojen tulee kertoa avoimesti evästeiden käytöstä sekä tarvittaessa pyytää käyttäjän suostumus ennen muiden kuin välttämättömien evästeiden tallentamista. Näin varmistetaan läpinäkyvä ja luotettava verkkopalvelun käyttö.

Välttämättömät evästeet ovat verkkosivuston toiminnan kannalta olennaisia evästeitä, jotka mahdollistavat sivuston perustoiminnot ja turvallisen käytön. Ilman näitä evästeitä verkkosivusto ei pysty toimimaan asianmukaisesti, eikä käyttäjä välttämättä voi hyödyntää kaikkia palvelun ominaisuuksia.

Näitä evästeitä käytetään esimerkiksi käyttäjän istunnon ylläpitämiseen, kirjautumisen hallintaan, tietoturvan varmistamiseen sekä lomakkeiden ja ostoskorien toiminnan mahdollistamiseen. Välttämättömät evästeet auttavat myös tunnistamaan käyttäjän saman istunnon aikana, jotta sivuston eri osat toimivat saumattomasti.

Koska välttämättömät evästeet ovat tarpeellisia verkkosivuston teknisen toiminnan kannalta, niitä ei yleensä voida poistaa käytöstä verkkosivuston evästeasetuksista. Käyttäjä voi kuitenkin estää evästeiden tallentamisen selaimen asetuksista, mutta tämä saattaa heikentää sivuston toimivuutta tai estää joidenkin palveluiden käytön kokonaan.

Välttämättömiä evästeitä ei käytetä markkinointitarkoituksiin, eikä niiden avulla yleensä seurata käyttäjän toimintaa eri verkkosivustojen välillä. Niiden ensisijaisena tarkoituksena on varmistaa verkkopalvelun turvallinen, luotettava ja tehokas toiminta käyttäjän hyväksi.

Analytiikkaevästeitä käytetään verkkosivuston käytön mittaamiseen ja analysointiin. Niiden avulla kerätään tietoa esimerkiksi kävijämääristä, suosituimmista sivuista, sivustolla vietetystä ajasta sekä siitä, miten käyttäjät liikkuvat verkkosivuston eri osioiden välillä. Kerättyjen tietojen avulla verkkosivuston ylläpitäjä voi arvioida palvelun toimivuutta ja kehittää sitä vastaamaan paremmin käyttäjien tarpeita.

Analytiikkaevästeiden keräämä tieto on yleensä koottua ja anonymisoitua, eikä sitä käytetä yksittäisen käyttäjän tunnistamiseen ilman erillistä perustetta. Tietojen avulla voidaan esimerkiksi tunnistaa teknisiä ongelmia, parantaa sivuston käytettävyyttä sekä seurata uusien ominaisuuksien toimivuutta.

Verkkosivustot voivat käyttää analytiikkapalveluita, kuten Google Analyticsia tai vastaavia työkaluja, jotka hyödyntävät evästeitä kävijätilastojen muodostamiseen. Näiden palveluiden avulla saadaan arvokasta tietoa sivuston suorituskyvystä ja käyttäjäkokemuksesta.

Analytiikkaevästeiden käyttö perustuu yleensä käyttäjän antamaan suostumukseen. Käyttäjä voi hyväksyä tai hylätä analytiikkaevästeet evästeasetuksissa sekä muuttaa valintojaan myöhemmin. Analytiikkaevästeiden estäminen ei yleensä vaikuta verkkosivuston perustoimintoihin, mutta se voi rajoittaa sivuston ylläpitäjän mahdollisuuksia kehittää palvelua käyttäjien tarpeiden mukaisesti.

Markkinointievästeitä käytetään käyttäjälle näytettävän sisällön ja mainonnan kohdentamiseen. Näiden evästeiden avulla voidaan kerätä tietoa käyttäjän kiinnostuksen kohteista, verkkosivuston käytöstä sekä vuorovaikutuksesta eri verkkopalveluiden kanssa. Tavoitteena on tarjota käyttäjälle mahdollisimman relevantteja mainoksia ja markkinointiviestejä.

Markkinointievästeet voivat seurata käyttäjän toimintaa useilla verkkosivustoilla ja luoda tietoa käyttäjän kiinnostuksen kohteista. Tämän tiedon perusteella käyttäjälle voidaan näyttää hänen oletettuihin mieltymyksiinsä perustuvaa mainontaa esimerkiksi verkkosivustoilla, sosiaalisen median palveluissa tai hakukoneissa.

Näitä evästeitä voivat asettaa sekä verkkosivuston omistaja että kolmannet osapuolet, kuten mainosverkostot, analytiikkapalvelut tai sosiaalisen median alustat. Kolmannen osapuolen evästeiden avulla voidaan myös mitata markkinointikampanjoiden tehokkuutta ja seurata, kuinka käyttäjät reagoivat mainoksiin.

Markkinointievästeiden käyttö edellyttää yleensä käyttäjän nimenomaista suostumusta. Käyttäjä voi hyväksyä tai hylätä markkinointievästeet evästeasetusten kautta sekä muuttaa valintojaan milloin tahansa. Markkinointievästeiden estäminen ei vaikuta verkkosivuston perustoimintoihin, mutta se voi vähentää käyttäjälle näytettävän mainonnan yksilöllisyyttä ja osuvuutta.

Verkkosivusto sitoutuu käsittelemään evästeiden avulla kerättyjä tietoja voimassa olevan tietosuojalainsäädännön mukaisesti sekä huolehtimaan siitä, että käyttäjälle annetaan riittävät tiedot evästeiden käytöstä ja niiden tarkoituksista.

Verkkosivuston evästeiden käyttöön sovelletaan voimassa olevaa tietosuoja- ja yksityisyydensuojalainsäädäntöä. Tärkeimpiä säädöksiä ovat Euroopan unionin yleinen tietosuoja-asetus (GDPR), sähköisen viestinnän tietosuojasääntelyyn perustuva ePrivacy-lainsäädäntö sekä Kalifornian kuluttajansuojalaki (CCPA) ja sen täydennykset.

GDPR (General Data Protection Regulation)

GDPR on Euroopan unionin tietosuoja-asetus, joka säätelee henkilötietojen käsittelyä. Mikäli evästeiden avulla kerätty tieto voidaan yhdistää tunnistettuun tai tunnistettavissa olevaan henkilöön, sitä käsitellään henkilötietona. GDPR edellyttää, että henkilötietojen käsittelylle on laillinen peruste, kuten käyttäjän suostumus tai oikeutettu etu. Käyttäjällä on myös oikeus saada tietoa henkilötietojensa käsittelystä sekä käyttää tietosuoja-asetuksen mukaisia oikeuksiaan.

ePrivacy-lainsäädäntö

ePrivacy-sääntely täydentää GDPR:ää ja koskee erityisesti sähköisen viestinnän luottamuksellisuutta sekä evästeiden käyttöä. Sen mukaan verkkosivuston on pääsääntöisesti pyydettävä käyttäjän suostumus ennen muiden kuin välttämättömien evästeiden tallentamista käyttäjän laitteelle. Käyttäjälle on annettava selkeät tiedot evästeiden käyttötarkoituksista sekä mahdollisuus hyväksyä tai hylätä evästeet.

CCPA (California Consumer Privacy Act)

CCPA on Kalifornian osavaltiossa sovellettava tietosuojalaki, joka antaa kuluttajille oikeuden tietää, mitä henkilötietoja heistä kerätään, miten tietoja käytetään ja luovutetaan sekä mahdollisuuden vastustaa henkilötietojen myyntiä tai jakamista tietyissä tilanteissa. CCPA:n piirissä olevien organisaatioiden tulee tarjota käyttäjille läpinäkyvää tietoa tietojen käsittelystä ja mahdollistaa lain mukaisten oikeuksien käyttäminen.

Käyttäjän oikeudet

Sovellettavan lainsäädännön mukaisesti käyttäjällä voi olla oikeus:

  • saada tietoa henkilötietojen käsittelystä;
  • tarkastaa itseään koskevat tiedot;
  • pyytää virheellisten tietojen oikaisemista;
  • pyytää henkilötietojen poistamista tietyissä tilanteissa;
  • rajoittaa henkilötietojen käsittelyä;
  • vastustaa henkilötietojen käsittelyä;
  • peruuttaa aiemmin antamansa suostumus milloin tahansa; sekä
  • tehdä valitus toimivaltaiselle valvontaviranomaiselle.

Verkkosivusto pyrkii varmistamaan, että evästeiden käyttö ja henkilötietojen käsittely tapahtuvat läpinäkyvästi, turvallisesti ja voimassa olevan lainsäädännön mukaisesti.