Palasin tänään aikani kuluksi opinnäytetyössänikin vahvasti esillä olleeseen WordPress -aiheeseen, mitä en maininnut sanallakaan WP REST APIa marraskuussa 2016 Turun AMK:n kirjastolle palauttamassani hyväksytyssä opinnäytetutkielmassani. WordPress REST API on ollut joulukuussa 2016 julkaistussa WP-versiossa ensimmäistä kertaa, jossa oletuksena on JSON-data julkisena. Sekin ihmetyttää, miksi WP-kehittäjät ovat lopulliseen versioon julkisena sen pistänyt oletuksena, vaikka samat tiedothan sieltä saa eri muodossa vain, mitä julkisesti on muutoinkin saatavilla yrityksen tai yksityishenkilön kotisivulla, jos käyttää WordPressiä CMS:änä sisällön alustana, niin siinä mielessä ei kannata välttämättä yöunia menettää valkohattu-turvallisuuden kannalta.
Tuollainen heräsi mieleen, kun liiketoiminnan ihan perusteita on yrityskuvan ylläpito ja julkisuuteen viestintä osana sitä, puhutaan kai syvemmälle mentäessä yrityskuvan luonnin jälkeen brändin ylläpidosta, ainakin yksittäisten tuotteiden tai tuoteperheiden osalta, jota yritys valmistaa ja myy. Katsoin tänään piruuttani Google-hakutermillä "Hello World wp-admin site:.fi", ja sieltä tuli 10 800 hakutulosta. Vielä, kun valta-osalla sivuista, mitä katsoin muutamaa alkupään tulossivua, niin kirjautumissivu on oletuspaikassa, ja JSON-data on julkista. Mitä haittaa tämänkaltaisessa yrityksen toiminnassa on, jos halutaan viestittää ja aikaansaada luotettavan yrityksen maine asiakkaalle tai potentiaalisille asiakkaille, kohderyhmälle? Voisi kuvitella taviksena, että jotain muutakin on pielessä yrityksen muissa toimintaprosesseissa, jos tämän kaltaisia Hei Maailma -postauksia löytyy yrityksen verkkokäyntikortista?
Itse en nyt niin kiinnostunut ole, kun en ole hommannut tuota WP REST AP-avainta itselleni, enkä näin ollen saa WPScanilla mitään dataa ulos, koska se vaatii tuon avaimen, mutta voisi kuvitella, että näitä katsellaan paljon. Omille kotisivuilleni tuo WPScan ei löytänyt mitään muuta, kuin HTTP 403 koodin, "Forbidden".