Support » Allgemeine Fragen » Kommentar auf der Website

  • Gelöst bitflight

    (@bitflight)


    Hallo,

    ich habe meine emalige statische Website nach WordPress importiert. In den Seiten gibt es keine Möglichkeit Kommentare zu verfassen.

    Dass über das Kontaktformular fast regelmäßig Spam reinkommt ist fast schon normal, erstaunt stellte ich heute jedoch fest, dass irgendein Russischer Websitenbetreiber zur Spam-Email einen Kommentar in WordPress anlegen konnte. Wie gesagt auf der Webseite direkt gibt es hierzu keinerlei Möglichkeit. Wie geht das ???

    Ich habe nicht den Eindruck dass meine Zugangsdaten geknackt wurden.

Ansicht von 15 Antworten - 16 bis 30 (von insgesamt 32)
  • Hallo,
    wenn du die folgende Abfrage erstellst (https://example.com/wp-json/wp/v2/posts), dann werden zu den letzten 10 Beiträgen die ID’s gezeigt.

    Und die gezeigte JSON Ansicht fand ich auch nicht

    Bei Windows erhalte ich die von Bego gezeigte Ansicht ohne Erweiterungen nur bei Firefox. Bei Chrome ist das nicht so schön strukturiert.

    Mehr Informationen zu den Möglichkeiten findest du in der REST API Developer Endpoint Reference.

    Viele Grüße
    Hans-Gerd

    Die Beitrags-ID wird auch im <body>-Tag als CSS-Klasse angezeigt.

    Für Chrome gibt es Erweiterungen, die JSON formatiert anzeigen, z.B. JSON Formatter.

    @pixolin
    danke für den Hinweis. 👍

    Anonymous User 20597857

    (@anonymized-20597857)

    Mehr Informationen …

    ich bin komplett platt was alles geht …

    Die Beitrags-ID wird auch im <body>-Tag als CSS-Klasse angezeigt.

    das auch noch!

    Ergo darf ich nun einem Bekannten mitteilen, dass die Betreiber ihre Paywall in die Tonne treten können. Die Inhalte sind somit komplett sichtbar!
    Mit der empf. Erweiterung (Danke Bego!) auch im Chrome alles bestens lesbar …

    Aber manche Sachen sind nicht sichtbar. Etwa example /wp-json/wp/v2/themes/ wirft oft:
    {"code":"rest_cannot_view_themes","message":"Sie sind leider nicht berechtigt, Themes anzuzeigen.","data":{"status":401}}
    Ebenso Plugins, Settings, … sind verboten.
    Daraus folgt die Frage: Wie kann man einzelne solcher JSON Ausgaben sperren?

    Moderator Michi91

    (@michi91)

    Die Rechte decken sich mit wordpress berechtigungen. Findet sich alles im Dokubereich 🙂 einzelne Artikel müssten über Filter rausgefiltert werden.

    https://dev.to/david_woolf/handling-permissions-in-your-wordpress-rest-routes-c6j

    • Diese Antwort wurde geändert vor 1 Jahr, 2 Monaten von Michi91.
    • Diese Antwort wurde geändert vor 1 Jahr, 2 Monaten von Michi91.
    Anonymous User 20597857

    (@anonymized-20597857)

    Findet sich alles im Dokubereich

    Danke. Oke, und wo?
    Gibt es auch DE-sprachige Infos darüber?

    einzelne Artikel müssten über Filter rausgefiltert werden.

    oje – bei zigtausenden Beiträgen sicher ein Haufen Aufwand? Eigentlich soll kein einziger öffentlich sein, die Abonnenten zahlen dafür und die Profis holen es per JSON oder so gratis. Schon arg.

    Aus dem Link werde ich nicht schlauer. Also falls es da wo mehr Input gibt?
    Hpts. soll diese ganze Methode, dass jeder alles lesen und erfahren kann, abgestellt werden.

    Schön ist, dass mit diesem Plugin bestimmte Teile der REST API geschlossen werden können. Schade, dass dadurch die Einbindung in andere Websites erschwert wird. Außerdem macht ihr mir gerade meinen streng geheimen Spezialtrick zunichte, mit dem ich versuche, an irgendwelche Informationen zu kommen, wenn mal wieder der Website-Bericht nicht mitgeliefert wurde. Und da habt ihr immer gedacht, ich könnte hellsehen …

    Apropos Paywall: an den RSS Feed hast du gedacht, @kurapika?

    Thread-Starter bitflight

    (@bitflight)

    @hupe13: Das Plugin gefällt mir

    Anonymous User 20597857

    (@anonymized-20597857)

    https://de.wordpress.org/plugins/disable-wp-rest-api/

    Danke, @hupe13, das teste ich heute noch, bzw. leite es an den Betreiber weiter, wenn es denn so funkt wie beschrieben.

    Andererseits, wie viele Leute haben schon dieses Wissen, was einem hier so geballt begegnet? Also können vllt. nur 0,0nix % der Menschheit damit hinter Aboschranken usw. blicken.

    @pixolin

    Schön ist, dass mit diesem Plugin bestimmte Teile der REST API geschlossen werden können.

    Bestimmte Teile? Oke, es sollen ja nur die Abo-only Bereiche nicht in diesem Rest Dingens gezeigt werden.

    Schade, dass dadurch die Einbindung in andere Websites erschwert wird.

    Was wären die Einsatzzwecke?

    streng geheimen Spezialtrick zunichte,

    hmm … mit dem Post ein Eigentor?

    habt ihr immer gedacht, ich könnte hellsehen …

    Eine stets gut polierte Glaskugel-Sammlung hast sicher noch.

    Apropos Paywall: an den RSS Feed hast du gedacht, @kurapika?

    Ich hoffe die haben dran gedacht. Da frage ich sicherheitshalber mal nach. Danke!

    Andererseits, wie viele Leute haben schon dieses Wissen, was einem hier so geballt begegnet?

    Security through Obscurity? Schlechte Idee.

    Bestimmte Teile?

    Betonung lag auf „können“. Z.B. nur Beiträge. Oder alles. Wie du magst. Ausprobieren.

    Was wären die Einsatzzwecke?

    Die REST API liefert eben eine API, eine Programmschnittstelle mit der du Inhalte in anderen Anwendungen auslesen/einbinden kannst. Geht nur, solange der Zugang zur REST API freigeschaltet ist.
    Ich bin mir nicht sicher, ob der WordPress-Block zum Einbinden fremder Beiträge die REST API nutzt.

    Es gibt noch andere Plugins, die den Zugriff auf die REST API bzw. Teile darauf schließen. Ich bin mit diesem glücklich und habe für mich noch keine Einschränkungen bemerkt. Aber meine Webseiten sind Seiten ohne „Schnick Schnack“, die Funktionen der REST API brauchen könnten.

    Stell dir vor, jemand betreibt eine Website für ein Restaurant. Jeden Tag schreiben die einen neuen Beitrag mit dem Gericht des Tages.

    Das Rezept des Tages möchtest du (ohne Header und Footer) auf der Intranet-Seite eines Unternehmens (ein paar Mitarbeiter, keine Kantine) ausgeben. Per REST API kannst du den Inhalt des Beitrags abrufen. Mit gesperrter REST API bleibt die Seite leer. Da hilft dem Restaurant „meine Webseiten sind Seiten ohne „Schnick Schnack““ auch nicht weiter.

    (OK, ist ein schräges Beispiel. Die Webseiten können auch anders ausgelesen werden. Aber die REST API macht es einfacher. Jede Programmiersprache kann mit JSON-Dateien umgehen. Webseiten zu extrahieren geht, ist aber komplizierter.)

    Tatsächlich hilft die REST API aber wohl vor allem Unternehmen, die WordPress „headless“ betreiben. vgl. WordPress als Headless CMS.

    Mich stören zwischenzeitlich die unfreiwillig preisgegebenen Daten. Nicht jeder findet die Zeit, regelmäßig Blogbeiträge zu schreiben. Wenn du dann auf der Webseite das Datum nicht mit ausgibst, taucht es aber in der REST API-Abfrage wieder auf.

    Sorry fürs off topic. Schönes Wochenende.

    Anonymous User 20597857

    (@anonymized-20597857)

    Betonung lag auf „können“ … Ausprobieren.

    mach ich diese WE

    API, eine Programmschnittstelle mit der du Inhalte in anderen Anwendungen auslesen/einbinden kannst.

    klar. Meinte aber konkrete Einsatzbeispiele.
    So wie das da:

    Das Rezept des Tages möchtest du (ohne Header und Footer) auf der Intranet-Seite eines Unternehmens … ausgeben

    Danke.

    Das OT ist meine Schuld. Ich war bin so platt ob dieser für mich relativ neuen Infos.

    Ebenfalls schönes WE!

    Nachtrag: Nun fand ich das erste Jeff Starr Plugin, was auf keiner unserer Sites funkt.

    • Diese Antwort wurde geändert vor 1 Jahr, 2 Monaten von Anonymous User 20597857. Grund: Test Disable WP REST API
    Moderator Michi91

    (@michi91)

    Mich stören zwischenzeitlich die unfreiwillig preisgegebenen Daten. Nicht jeder findet die Zeit, regelmäßig Blogbeiträge zu schreiben. Wenn du dann auf der Webseite das Datum nicht mit ausgibst, taucht es aber in der REST API-Abfrage wieder auf.

    Übrigens nicht nur die rest schnittstelle. Auch rss feeds und sitemap z. B. Durch yoast sind sehr gesprächig 😉

Ansicht von 15 Antworten - 16 bis 30 (von insgesamt 32)
  • Das Thema „Kommentar auf der Website“ ist für neue Antworten geschlossen.