O plugin All in One WP Security (AIOWPS) é uma solução abrangente de segurança para o WordPress, que inclui muitos recursos para proteger o site, alguns dos quais podem potencialmente interferir na API REST WordPress. A API REST WordPress é uma ferramenta poderosa que permite que aplicativos e serviços externos interajam com o site WordPress programaticamente. Quando as configurações de segurança do AIOWPS entram em conflito com a API REST, ela pode resultar em problemas de funcionalidade, especialmente para plugins ou temas que dependem de chamadas de API REST.
Para configurar o AIOWPS para evitar conflitos com a API REST WordPress, você precisa entender as maneiras pelas quais a AIOWPS pode bloquear ou restringir o acesso à API REST e ajustar cuidadosamente as configurações para permitir solicitações legítimas de API, mantendo a segurança.
Entendendo o conflito
O AIOWPS possui recursos como regras de firewall, bloqueio de IP e mecanismos de restrição de acesso que podem bloquear ou filtrar os pontos de extremidade da API REST, normalmente acessados por URLs começando com `/wp-json/`. Essas restrições podem levar a chamadas de API que falham ou retornam erros 403/404. O plug -in também pode restringir o uso de certos métodos HTTP (como post, put, excluir) que são importantes para solicitações de API autenticadas.
Etapas para configurar a compatibilidade AIOWPS for Rest API
1. Acesso à API do REST da lista de permissões: **
- Identifique as rotas de API restantes que precisam estar acessíveis. Por padrão, os terminais da API REST começam com `/wp-json/`.
- Nas configurações de firewall do AIOWPS ou configurações de controle de acesso, a lista de permissões ou exclui esse caminho de ser bloqueada ou restrita.
- Em algumas versões do AIOWPS, você pode adicionar explicitamente exceções ou URLs permitidos na lista de whitelists de firewall ou no login de usuário.
2. Desative o bloqueio de chamadas de API REST: **
- AIOWPS pode bloquear o que considera solicitações suspeitas ou não autorizadas. Como as chamadas da API REST geralmente usam cabeçalhos de solicitação AJAX ou não padrão, eles podem ser sinalizados.
- Procure configurações nomeadas de maneira semelhante à API Block Rest API, desativar a API REST para não registrados nos usuários, ou a proteção da API REST.
- Desative essas opções para impedir que as AIOWPs obstruam solicitações legítimas de API REST.
3. Ajuste a proteção da força bruta: **
- AIOWPS inclui recursos de bloqueio de força bruta e bloqueio de login.
- As solicitações da API REST envolvendo autenticação podem ser bloqueadas se as AIOWPs os sinalizarem como tentativas repetidas suspeitas.
- Ajuste as configurações de força bruta para evitar falsos positivos nas tentativas de autenticação da API REST, ou a Whitelist confied IPS fazendo chamadas de API.
4. AGENTE DE USUÁRIO E REFERÊNCIO DA ANESIDADE: **
- Às vezes, o AIOWPS bloqueia solicitações com base nos cabeçalhos do agente do usuário ou do referente.
- Você pode ser permitido a Whitelist Than User Agents (como os usados por seus consumidores de API) para garantir que suas solicitações de API de REST sejam permitidas.
5. Permitir métodos HTTP: **
- A API REST conta com vários métodos HTTP (Get, Post, Put, Excluir) para diferentes operações.
- Verifique se o AIOWPS não está restringindo ou bloqueando nenhum desses métodos necessários para a API REST.
6. Configuração personalizada de Regras de Regras de Servidor: **
- Se o AIOWPS modificar os arquivos de configuração `.htacccess` ou servidor para obter segurança adicional, verifique se essas regras não bloqueiam ou reescrevem o caminho`/wp-json/`ou os métodos HTTP usados pela API REST.
- Evite regras que restrinjam o acesso a pontos de extremidade da API REST ou retornem 403 erros para solicitações `/wp-json/`.
7. Teste após cada alteração: **
- Após o ajuste das configurações, teste a funcionalidade da API restante acessando pontos de extremidade como `https: // yourwebsite.com/wp-json/wp/v2/posts`.
- Use ferramentas como chamadas de postman ou navegador para verificar se os terminais da API respondem corretamente.
- Se os problemas permanecerem, verifique os logs do AIOWPS e os logs de depuração do WordPress para obter pistas sobre o que está sendo bloqueado.
8. Use o acesso baseado em função, se necessário: **
- Se as necessidades de segurança exigirem o uso da API REST limitante, configure controles baseados em funções em AIOWPs ou outros plugins para restringir o acesso da API em vez de bloqueá-lo.
- Por exemplo, restrinja o uso da API a usuários autenticados ou determinadas funções do usuário, permitindo o acesso do público a pontos de extremidade que o exigem.
9. Mantenha AIOWPS e WordPress atualizados: **
- Verifique se o plug -in do WordPress Core e AIOWPS é atualizado para as versões mais recentes, pois as atualizações geralmente contêm correções e melhorias para a compatibilidade da API REST.
10. Consulte a documentação e suporte do plug -in: **
- Revise a documentação ou fóruns oficiais do AIOWPS para obter instruções ou atualizações específicas sobre compatibilidade da API REST.
- Se os conflitos continuarem, entre em contato com o suporte ao plug -in com detalhes sobre seus casos de uso da API REST e configuração AIOWPS.
Exemplo de conflitos e correções comuns
- Firewall bloqueando o acesso da API:
Habilite a lista de permissões para `/wp-json/` nas configurações do firewall. Isso impede que o firewall bloqueie essas rotas.
- Login Lockdown afetando a autenticação da API:
A lista de permissões da lista de permissões ou desativar o bloqueio para os usuários da API para impedir que as solicitações de autenticação sejam bloqueadas.
- Prevenção de 403 erros proibidos:
Evite regras de segurança excessivamente agressivas que restrinjam verbos HTTP ou agentes de usuário necessários para a API REST; ajustar ou desativar essas regras.
Recomendações adicionais
- Se você deseja restringir apenas o acesso à API REST, mas evite a funcionalidade de quebra, considere o uso de plugins projetados especificamente para controlar o acesso da API REST em vez de blocos de firewall de mantas.
- Use a autenticação HTTP ou senhas de aplicativos para proteger o acesso da API REST ao lado de AIOWPS; portanto, a funcionalidade da API e o REST coexistem sem conflito.
- Monitore regularmente os registros de API REST e os logs de segurança AIOWPS para detectar e resolver quaisquer problemas emergentes.