wp-json voi paljastaa enemmän kuin arvaat

17.10.2025 | Artikkeleita, IT, Kotisivut, Nettisivut, Tietoturva, Verkkokauppa, Verkkokehitys, Verkkosivut, Verkkotyökalu, WordPress

wp-json voi paljastaa enemmän kuin arvaat

wp-json voi paljastaa enemmän kuin arvaatWordPressin REST API eli wp-json on moderni rajapinta, joka mahdollistaa tiedon hakemisen ja käsittelyn JSON-muodossa. Sen avulla kehittäjät voivat rakentaa sovelluksia, mobiilikäyttöliittymiä ja ulkoisia integraatioita, jotka kommunikoivat WordPressin kanssa. Käytännössä REST API tarjoaa tavan lukea ja muokata sisältöä ohjelmallisesti ilman, että täytyy käyttää perinteistä hallintapaneelia.

Esimerkiksi osoitteessa https://sivusto.fi/wp-json/wp/v2/posts näkyy usein julkinen lista julkaistuista artikkeleista. Tämä on hyödyllistä kehittäjille, mutta samalla se voi avata oven tietoturvariskeille, jos API:n käyttöä ei ole rajoitettu oikein.

Miten wp-json voi paljastaa tietoja

REST API on oletuksena julkisesti käytettävissä kaikissa WordPress-asennuksissa. Tämä tarkoittaa, että kuka tahansa voi tehdä HTTP-pyynnön ja nähdä tietyt tiedot sivustosta — ilman kirjautumista. Usein näkyvillä on julkista tietoa, kuten artikkelien otsikot ja ID:t, mutta API saattaa paljastaa enemmän kuin sivuston omistaja ymmärtää.

Yleisimpiä tietoja, joita wp-json voi paljastaa:

  • Käyttäjätunnukset ja author-ID:t: Osoitteesta https://sivusto.fi/wp-json/wp/v2/users löytyy usein lista käyttäjistä, joiden rooli on kirjoittaja tai ylläpitäjä. Tämä on hyökkääjälle arvokas tieto, sillä käyttäjänimi on puolet kirjautumistiedoista.

  • Artikkeleiden ja sivujen ID-numerot: Näitä voidaan käyttää haavoittuvuuksien testaamiseen tai automatisoituihin hyökkäyksiin.

  • Mukautetut kentät ja metatiedot: Jos kehittäjä on jättänyt REST API -päätepisteet auki lisäosille tai teemoille, arkaluonteista tietoa (kuten sähköpostiosoitteita tai yksityisiä asetuksia) voi vuotaa julkisesti.

  • JSON-tietorakenne, joka paljastaa WordPress-version ja käytetyt lisäosat: Tämä helpottaa haavoittuvuuksien tunnistamista.

Miksi tietovuoto on mahdollinen

WordPressin REST API on suunniteltu avoimeksi ja helppokäyttöiseksi, mutta se ei aina huomioi tietoturvan periaatteita. Julkaistun sisällön näkyvyys on oletuksena sallittu kaikille, eikä API vaadi autentikointia tietojen lukemiseen. Jos sivuston kehittäjä ei tiedä, mitä päätepisteitä lisäosat tai teema lisäävät, hän ei välttämättä huomaa tietovuotoa lainkaan.

Monet lisäosat, kuten SEO-työkalut, lomakegeneraattorit ja analytiikkaratkaisut, käyttävät omaa REST API -päätepolkuaan. Tämä voi tarkoittaa, että esimerkiksi sähköpostiosoitteet, käyttäjien nimet tai jopa lomakkeiden vastaukset ovat julkisesti saatavilla JSON-formaatissa.

Miten hyökkääjät käyttävät wp-json -tietoja

Hyökkääjä voi käyttää wp-jsonia tiedusteluun eli “reconnaissance”-vaiheeseen ennen varsinaista hyökkäystä. Tämä vaihe on olennainen osa WordPress-sivustoihin kohdistuvia hyökkäyksiä. Esimerkiksi:

  1. Käyttäjälistaus:
    Hyökkääjä hakee osoitteen /wp-json/wp/v2/users ja saa selville käyttäjien tunnukset. Sen jälkeen voidaan yrittää kirjautua sisään brute force -menetelmällä tai testata tunnettuja salasanoja.

  2. Sisällön ja ID:iden kartoitus:
    Kun tiedetään artikkelien tai sivujen ID:t, hyökkääjä voi testata, onko jokin sisältö yksityinen mutta edelleen saatavilla suoraan API:n kautta.

  3. Versiotietojen keruu:
    wp-json paljastaa usein WordPress-version, teeman nimen ja joskus lisäosien versiot. Tämä auttaa etsimään tiettyyn versioon liittyviä haavoittuvuuksia.

  4. Tietovuodot mukautetuista API-päätepisteistä:
    Jos kehittäjä on jättänyt testipäätepisteen, kuten /wp-json/custom/v1/debug, se voi paljastaa palvelimen polkuja, sähköpostiosoitteita tai jopa käyttäjien tietoja.

Kuinka tarkistaa, mitä oma wp-json paljastaa

Jokaisen WordPress-sivuston omistajan tulisi säännöllisesti tarkistaa, mitä tietoja hänen REST API -rajapintansa paljastaa. Voit tehdä sen helposti selaimella tai komentorivillä:

Selaimessa:
Avaa osoite https://omadomain.fi/wp-json/ ja tarkista, mitä päätepisteitä näkyy. Jos listassa on wp/v2/users ilman rajoituksia, se on avoin.

WP-CLI-komennolla:
wp rest list
Tämä listaa kaikki aktiiviset REST-päätepisteet. Jos näet ylimääräisiä polkuja, joita et tunnista, ne kannattaa tarkistaa.

Turvallisuustyökalut:
Käytä lisäosia kuten Wordfence, WPScan tai Sucuri Security tarkistaaksesi, onko REST API -tietovuotoja havaittu. Ne voivat myös estää haitallisia API-pyyntöjä automaattisesti.

Kuinka suojata wp-json ja REST API

1. Rajoita pääsyä käyttäjätietoihin

Lisää seuraava koodinpätkä teeman functions.php-tiedostoon estääksesi käyttäjälistauksen:

add_filter('rest_endpoints', function($endpoints) {
if (isset($endpoints['/wp/v2/users'])) {
unset($endpoints['/wp/v2/users']);
}
return $endpoints;
});

Tämä poistaa /wp/v2/users-päätepisteen kokonaan julkisesta näkyvyydestä.

2. Käytä suojauslisäosia

Wordfence, iThemes Security ja All In One WP Security tarjoavat valmiita asetuksia REST API:n rajoittamiseen. Voit määrittää, että vain kirjautuneet käyttäjät pääsevät käsiksi tiettyihin tietoihin.

3. Käytä palomuuria ja IP-suodatusta

Jos palvelimesi sallii, rajoita wp-json -polun käyttö vain tietyille IP-osoitteille tai autentikoiduille käyttäjille.

4. Poista tarpeettomat päätepisteet

Monet lisäosat luovat automaattisesti API-päätepisteitä, joita et tarvitse. Poista ne käytöstä tai varmista, ettei niihin pääse ilman kirjautumista.

5. Käytä välimuistia ja CDN-suojausta

Pilvipohjainen palomuuri (esimerkiksi Cloudflare tai Sucuri Firewall) voi estää automatisoidut wp-json -haut, jotka yrittävät kerätä käyttäjätietoja.

Mikä on turvallinen tapa hyödyntää REST APIa

Jos tarvitset REST APIa omassa kehitystyössä, varmista että käytät autentikointia (esim. JWT, OAuth tai Application Passwords). Näin vain luvalliset sovellukset voivat tehdä muutoksia tai lukea suojattuja tietoja.

Lisäksi voit rajata vastauksissa näkyvät kentät. Esimerkiksi vain otsikko ja sisältö voidaan palauttaa, jos muita tietoja ei tarvita. Tämä onnistuu lisäämällä ?_fields=title,content API-pyyntöön.

Esimerkki hyvästä REST API -turvakäytännöstä

  1. Poista tai rajoita /wp/v2/users-päätepiste.

  2. Varmista, että vain kirjautuneet käyttäjät pääsevät muokkaamaan tai poistamaan sisältöä.

  3. Käytä HTTPS-protokollaa kaikessa viestinnässä.

  4. Kirjaa kaikki API-kutsut lokiin ja seuraa epäilyttävää toimintaa.

  5. Päivitä säännöllisesti WordPress ja kaikki lisäosat, jotka käyttävät REST APIa.

Yhteenveto

wp-json on voimakas työkalu, joka tekee WordPressistä joustavan ja modernin. Se mahdollistaa integraatiot, automaatiot ja sovellusten rakentamisen, mutta samalla se voi avata tietoturva-aukkoja, jos sitä ei hallita oikein. Jokaisen sivuston omistajan tulisi tarkistaa, mitä tietoja oma REST API paljastaa, ja rajoittaa näkyvyys vain tarpeelliseen.

Kun REST API suojataan, WordPress-sivustosta tulee yhtä aikaa tehokas ja turvallinen — eikä se paljasta enemmän kuin haluat.

Samankaltaisia artikkeleita

WordPressin joustavuus

WordPressin joustavuus

WordPress on säilyttänyt asemansa maailman suosituimpana sisällönhallintajärjestelmänä jo yli 20 vuoden ajan. Yritykset eri toimialoilt...

20.11.2025
WordPressin kehityssuunta

WordPressin kehityssuunta

WordPress on ollut verkkokehityksen kulmakivi jo vuosikymmeniä, ja sen rooli on muuttunut dramaattisesti ajan myötä. Alun perin blogi...

20.11.2025
WordPressin ekosysteemi vuonna 2026

WordPressin ekosysteemi vuonna 2026

WordPress on laaja ja kehittyvä ekosysteemi, joka kattaa verkkosivujen, verkkokauppojen, sovellusten, integraatioiden ja tekoälypohjai...

20.11.2025
Verkkokauppa WordPressillä

Verkkokauppa WordPressillä

Tässä oppaassa käymme läpi vaiheet, työkalut ja parhaat käytännöt, jotta voit luoda toimivan ja optimoidun verkkokaupan.

20.11.2025