All in One WP Security (AIOWPS) plugin je komplexní bezpečnostní řešení pro WordPress, které obsahuje mnoho funkcí pro ochranu webu, z nichž některé mohou potenciálně narušit rozhraní WordPress REST API. API WordPress REST API je výkonný nástroj, který umožňuje programování externích aplikací a služeb interagovat s webem WordPress. Když se nastavení zabezpečení AIOWPS v rozporu s REST API může vést k problémům s funkčností, zejména pro pluginy nebo témata, která se spoléhají na volání API REST API.
Chcete -li nakonfigurovat AIOWPS tak, aby se zabránilo konfliktům s API WordPress REST API, musíte pochopit způsoby, jak by AIOWPS mohl blokovat nebo omezit přístup REST API a poté pečlivě upravit nastavení tak, aby umožňovala legitimní požadavky API při zachování zabezpečení.
Pochopení konfliktu
AIOWPS má funkce, jako jsou pravidla brány firewall, blokování IP a mechanismy omezení přístupu, které mohou blokovat nebo filtrovat koncové body REST API, obvykle přístupné prostřednictvím URL počínaje `/WP-JSON/`. Tato omezení mohou vést k selhání nebo vrácení chyb API nebo vracet chyby 403/404. Plugin může také omezit použití některých metod HTTP (jako je příspěvek, put, smazat), které jsou důležité pro ověřené požadavky API.
Kroky k konfiguraci AIOWPS pro kompatibilitu REST API
1. Přístup k koncovému bodu API Whitelist REST API: **
- Identifikujte trasy API REST, které je třeba dostupné. Ve výchozím nastavení začínají koncové body REST API `/wp-json/`.
- V rámci nastavení firewall AIOWPS nebo nastavení řízení přístupu whitelist nebo vyloučte tuto cestu z blokování nebo omezení.
- V některých verzích AIOWPS můžete explicitně přidat výjimky nebo povolené adresy URL v nastavení „Přihlášení k přihlášení k uživatelům“.
2. Zakázat blokování volání API REST: **
- AIOWPS může blokovat to, co považuje za podezřelé nebo neoprávněné požadavky. Protože hovory REST API často používají záhlaví AJAX nebo nestandardní požadavky, mohou být označeny.
- Vyhledejte nastavení pojmenovaná podobně jako â Block REST API, deaktivujte REST API pro nedbalé v uživatelích, nebo si odpočiňte ochrana API.
- Zakázat takové možnosti, jak zabránit AIOWPS v bránění legitimním požadavkům na REST API.
3. Upravte ochranu hrubé síly: **
- AIOWPS zahrnuje prvky hrubé síly a přihlášení.
- Žádosti API REST, které se týkají ověřování, by mohly být blokovány, pokud je AIOWPS označí jako podezřelé opakované pokusy.
- Upravte nastavení hrubé síly, abyste se vyhnuli falešným pozitivům o autentizačních pokusech REST API nebo Whitelist důvěryhodným IPS volání API.
4. Uživatelský agent a reference Whitelisting: **
- Někdy AIOWPS blokuje požadavky na základě záhlaví uživatele nebo reference.
- Můžete whitelist známého uživatelského agentů (například ty, které používají vaši spotřebitelé API), abyste zajistili povolení jejich požadavků na REST API.
5. Povolit metody HTTP: **
- REST API se spoléhá na různé metody HTTP (get, post, delete) pro různé operace.
- Ujistěte se, že AIOWPS neomezuje ani neblokuje žádnou z těchto metod potřebných podle API REST.
6. Vlastní.
- Pokud AIOWPS modifikuje `.htaccess` nebo konfigurační soubory serveru pro další zabezpečení, ujistěte se, že tato pravidla neblokují ani nepřekvapují cestu`/wp-json/`nebo metody HTTP používané společností REST API.
- Vyvarujte se pravidel, která omezují přístup k koncovým bodům REST API nebo vrátí 403 chyby pro požadavky `/wp-json/`.
7. Test po každé změně: **
- Po nastavení nastavení vyzkoušejte funkčnost REST API přístupem k koncovým bodům, jako je `https: // yourwebsite.com/wp-json/wp/v2/příspěvky`.
- Pomocí nástrojů, jako jsou volání posturny nebo prohlížeče, ověřte, zda koncové body API správně reagují.
- Pokud problémy zůstávají, zkontrolujte protokoly AIOWPS a protokoly ladění WordPress pro stopy ohledně toho, co je blokováno.
8. V případě potřeby používejte přístup založený na rolích: **
- Pokud potřeby zabezpečení vyžadují omezení využití API REST API, nakonfigurujte ovládací prvky založené na rolích v AIOWPS nebo jiných pluginech, aby omezovaly přístup API spíše než jeho blokování.
- Například omezte využití API na autentizované uživatele nebo určité uživatelské role a zároveň umožňují přístup veřejnosti k koncovým bodům, které to vyžadují.
9. Udržujte aktualizaci AIOWPS a WordPress: **
- Zajistěte, aby byl plugin WordPress Core i AIOWPS aktualizován na nejnovější verze, protože aktualizace často obsahují opravy a vylepšení kompatibility REST API.
10. Konzultace s dokumentací a podporou pluginu: **
- Zkontrolujte oficiální dokumentaci nebo fóra AIOWPS na konkrétní pokyny nebo aktualizace kompatibility REST API.
- Pokud konflikty pokračují, kontaktujte podporu pluginu s podrobnostmi o vašich případech použití REST API a konfiguraci AIOWPS.
Příklad běžných konfliktů a oprav
- Přístup API pro blokování brány firewall:
Povolte Whitelist pro `/wp-json/` v nastavení brány firewall. To zabraňuje blokování firewall tyto trasy.
- Přihlaste se zablokování ověřování API:
Whitelist IPS nebo zakázat uzamčení uživatelů API, aby se zabránilo zablokování požadavků na ověření.
- Prevence 403 zakázaných chyb:
Vyvarujte se příliš agresivních bezpečnostních pravidel, která omezují slovesa HTTP nebo uživatelská agenti potřebná od REST API; upravit nebo deaktivovat tato pravidla.
Další doporučení
- Pokud chcete omezit přístup k REST API, ale vyhnout se porušování funkčnosti, zvažte použití pluginů speciálně navržených pro řízení přístupu REST API spíše než přikrývky bloků brány firewall.
- Pro zajištění přístupu API REST spolu s AIOWPS použijte hesla ověřování HTTP nebo aplikací, takže funkce API REST a zabezpečení koexistují bez konfliktu.
- Pravidelně sledujte protokoly API REST API a protokoly zabezpečení AIOWPS, abyste detekovali a vyřešili všechny vznikající problémy.