يعد المكون الإضافي All in One WP Security (AIOWPS) حلاً أمانًا شاملاً لـ WordPress يتضمن العديد من الميزات لحماية الموقع ، والتي يمكن أن يتداخل بعضها مع واجهة برمجة تطبيقات WordPress Rest. يعد WordPress Rest API أداة قوية تتيح للتطبيقات والخدمات الخارجية التفاعل مع موقع WordPress برمجيًا. عندما تتعارض إعدادات أمان AIOWPS مع API REST ، يمكن أن يؤدي ذلك إلى مشكلات في الوظيفة ، خاصة بالنسبة للمكونات الإضافية أو الموضوعات التي تعتمد على مكالمات API REST.
لتكوين AIOWPs لتجنب التعارض مع واجهة برمجة تطبيقات WordPress Rest ، تحتاج إلى فهم الطرق التي قد تمنع بها AIOWPs أو تقيد الوصول إلى API Rest ثم ضبط الإعدادات بعناية للسماح لطلبات API المشروعة أثناء الحفاظ على الأمان.
فهم الصراع
تحتوي AIOWPs على ميزات مثل قواعد جدار الحماية ، وحظر IP ، وآليات تقييد الوصول التي قد تمنع أو تصفية نقاط نهاية API REST ، والتي يتم الوصول إليها عادة عبر عناوين URL بدءًا من `/wp-json/`. يمكن أن تؤدي هذه القيود إلى فشل مكالمات API أو إرجاع أخطاء 403/404. قد يقيد البرنامج المساعد أيضًا استخدام بعض أساليب HTTP (مثل Post ، PUT ، DELETE) والتي تعد مهمة لطلبات API المصادقة.
خطوات لتكوين AIOWPs لتوافق API REST
1. القائمة البيضاء REST API API API ACCESS: **
- تحديد طرق REST API التي يجب الوصول إليها. بشكل افتراضي ، تبدأ نقاط نهاية API REST بـ `/wp-json/`.
- تحت إعدادات جدار الحماية AIOWPS أو إعدادات التحكم في الوصول ، قائمة البيض أو استبعاد هذا المسار من حظره أو تقييده.
- في بعض إصدارات AIOWPs ، يمكنك إضافة استثناءات بشكل صريح أو عناوين URL المسموح بها في إعدادات "جدار الحماية" أو "إعدادات تسجيل الدخول إلى المستخدم".
2. تعطيل حظر مكالمات REST API: **
- يمكن لـ AIOWPs منع ما تراه طلبات مشبوهة أو غير مصرح بها. نظرًا لأن مكالمات REST API غالبًا ما تستخدم رؤوس Ajax أو غير قياسي ، فقد يتم وضع علامة عليها.
- ابحث عن الإعدادات المسمى بشكل مشابه لـ "Block Rest API ،" تعطيل API REST لغير المغمورة في المستخدمين ، أو حماية API REST. ".
- تعطيل مثل هذه الخيارات لمنع AIOWPs من عرقلة طلبات API الراحة المشروعة.
3. ضبط حماية القوة الغاشمة: **
- تتضمن AIOWPs ميزات قفل القوة الغاشمة وتسجيل الدخول.
- قد يتم حظر طلبات REST API التي تنطوي على المصادقة إذا قام AIOWPs بإعلامهم كمحاولات متكررة مشبوهة.
- اضبط إعدادات القوة الغاشمة لتجنب الإيجابيات الخاطئة في محاولات مصادقة API REST ، أو IPS الموثوق بها في القائمة البيضاء إجراء مكالمات API.
4. وكيل المستخدم والمستشار البيض: **
- في بعض الأحيان ، تقوم AIOWPs بمنح الطلبات بناءً على وكيل المستخدم أو رؤوس المرجع.
- يمكنك أن تكون وكلاء المستخدمين المعروفين في القائمة البيضاء (مثل تلك المستخدمة من قبل مستهلكي واجهة برمجة التطبيقات) لضمان السماح بطلبات API الخاصة بهم.
5. السماح لأساليب HTTP: **
- يعتمد API REST على طرق HTTP المختلفة (الحصول على ، POST ، PUT ، DELETE) لعمليات مختلفة.
- تأكد من أن AIOWPs لا تقيد أو يحظر أي من هذه الطرق التي تحتاجها API REST.
6. مخصص. htaccess أو قواعد الخادم تكوين: **
- إذا قامت AIOWPs بتعديل ملفات تكوين الخادم أو ملفات تكوين الخادم لأمان إضافي ، تأكد من عدم حظر هذه القواعد أو تعيد كتابة المسار `/wp-json/` أو أساليب HTTP المستخدمة بواسطة REST API.
- تجنب القواعد التي تقيد الوصول إلى نقاط نهاية API REST أو إرجاع 403 خطأ لطلبات `/wp-json/`.
7. اختبار بعد كل تغيير: **
- بعد ضبط الإعدادات ، اختبر وظيفة REST API عن طريق الوصول إلى نقاط النهاية مثل `https: // yourwebsite.com/wp-json/wp/v2/post`.
- استخدم أدوات مثل مكالمات Postman أو Browser للتحقق من أن نقاط نهاية API تستجيب بشكل صحيح.
- إذا بقيت المشكلات ، تحقق من سجلات AIOWPs وسجلات تصحيح WordPress للحصول على أدلة على ما يتم حظره.
8. استخدم الوصول القائم على الأدوار إذا لزم الأمر: **
- إذا كانت احتياجات الأمان تتطلب الحد من استخدام API Rest ، أو تكوين عناصر التحكم القائمة على الأدوار في AIOWPs أو الإضافات الأخرى لتقييد وصول API بدلاً من منعه بشكل مباشر.
- على سبيل المثال ، قم بتقييد استخدام API للمستخدمين المصادقين أو بعض أدوار المستخدم مع السماح للوصول العام إلى نقاط النهاية التي تتطلب ذلك.
9. الحفاظ على AIOWPs و WordPress محدثة: **
- تأكد من تحديث كل من WordPress Core و AIOWPS المكوّن الإضافي إلى أحدث الإصدارات ، حيث تحتوي التحديثات غالبًا على إصلاحات وتحسينات لتوافق API REST.
10. استشر وثائق ودعم البرنامج المساعد: **
- مراجعة وثائق AIOWPs الرسمية أو المنتديات لأي تعليمات أو تحديثات محددة على توافق API REST.
- في حالة استمرار تعارضات ، اتصل بالمكون الإضافي مع تفاصيل عن حالات استخدام واجهة برمجة تطبيقات REST وتكوين AIOWPS.
مثال على التعارضات والإصلاحات الشائعة
- جدار الحماية يمنع وصول API:
تمكين القائمة البيضاء لـ `/wp-json/` في إعدادات جدار الحماية. هذا يمنع جدار الحماية من منع هذه الطرق.
- تأمين تسجيل الدخول الذي يؤثر على مصادقة API:
IPS القائمة البيضاء أو تعطيل القفل لمستخدمي API لمنع حظر طلبات المصادقة.
- منع 403 أخطاء محظورة:
تجنب قواعد الأمان العدوانية المفرطة التي تقيد أفعال HTTP أو عوامل المستخدم التي تحتاجها API REST ؛ ضبط أو تعطيل تلك القواعد.
توصيات إضافية
- إذا كنت ترغب فقط في تقييد الوصول إلى API Rest ولكن تجنب كسر الوظائف ، ففكر في استخدام الإضافات المصممة خصيصًا للتحكم في الوصول إلى API Rest بدلاً من كتل جدار الحماية الشاملة.
- استخدم مصادقة HTTP أو كلمات مرور التطبيق لتأمين وصول API REST إلى جانب AIOWPs ، لذلك استراحة وظيفة واجهة برمجة التطبيقات والتعايش الأمنية دون تعايش.
- مراقبة سجلات API REST بانتظام وسجلات أمان AIOWPs للكشف عن أي مشكلات ناشئة وحلها.