Doplnok All in One WP Security (AIOWPS) je komplexné bezpečnostné riešenie pre WordPress, ktoré obsahuje mnoho funkcií na ochranu stránky, z ktorých niektoré môžu potenciálne zasahovať do rozhrania WordPress Rest API. Rozhranie API WordPress REST je výkonný nástroj, ktorý umožňuje externé aplikácie a služby programovo interagovať s webovou stránkou WordPress. Keď nastavenia bezpečnosti AIOWPS sú v rozpore s rozhraním REST API, môže to viesť k problémom s funkčnosťou, najmä v prípade doplnkov alebo tém, ktoré sa spoliehajú na hovory API REST.
Ak chcete nakonfigurovať AIOWP, aby sa predišlo konfliktom s rozhraním WordPress REST API, musíte pochopiť spôsoby, akými môžu AIOWPS blokovať alebo obmedziť prístup k REST API, a potom starostlivo upraviť nastavenia, aby sa umožnilo legitímne požiadavky API pri zachovaní bezpečnosti.
Pochopenie konfliktu
AIOWPS obsahuje funkcie, ako sú pravidlá firewall, blokovanie IP a mechanizmy obmedzenia prístupu, ktoré môžu blokovať alebo filtrovať koncové body API REST API, zvyčajne prístupné prostredníctvom URL začínajúcich pomocou `/WP-JSON/`. Tieto obmedzenia môžu viesť k tomu, že volania API zlyhajú alebo vrátia chyby 403/404. Doplnok môže tiež obmedziť použitie určitých metód HTTP (napríklad Post, put, Delete), ktoré sú dôležité pre autentifikované požiadavky API.
Kroky na konfiguráciu AIOWPS pre kompatibilitu REST API
1. Whitelist Rest API API Prístup: **
- Identifikujte trasy REST API, ktoré musia byť prístupné. V predvolenom nastavení sa koncové body REST API začínajú s `/wp-json/`.
- V rámci nastavení firewall AIOWPS alebo nastavení ovládacieho prvku prístupu, Whitelist alebo vylúčte z blokovania alebo obmedzenia tejto cesty.
- V niektorých verziách AIOWPS môžete explicitne pridať výnimky alebo povolené URL v nastaveniach prihlasovania brány firewall brány firewall.
2. Zakázať blokovanie hovorov REST API: **
- AIOWPS môžu blokovať to, čo považuje za podozrivé alebo neoprávnené požiadavky. Keďže hovory REST API často používajú hlavičky AJAX alebo neštandardných požiadaviek, môžu byť označené.
- Vyhľadajte nastavenia pomenované podobne ako API Block Rest API, deaktivujte API REST API pre používateľov, ktorí nie sú zaznamenávaní, ochrana API REST API.
- Zakážte takéto možnosti, ako zabrániť AIOWP v bránení legitímnym požiadavkám API REST API.
3. Upravte ochranu hrubej sily: **
- AIOWPS obsahuje funkcie Brute Force a prihlasovacie uzamknutia.
- Žiadosti o REST API zahŕňajúce autentifikáciu by mohli byť zablokované, ak ich AIOWPS ich oznámi ako podozrivé opakované pokusy.
- Upravte nastavenia Brute Force, aby sa predišlo falošným pozitívam pri pokusoch o overenie API REST API, alebo Whitelist dôveroval IPS volania API.
4. Užívateľský agent a referent Whitelisting: **
- Niekedy AIOWPS blokuje požiadavky založené na hlavičkách používateľa alebo referenta.
- Môžete bielych používateľov známych užívateľských agentov (ako napríklad tí, ktorí používajú vaši spotrebitelia rozhrania API), aby ste zaistili povolené žiadosti o ich REST API.
5. Povoliť metódy HTTP: **
- REST API sa spolieha na rôzne metódy HTTP (Get, Post, Put, Delete) pre rôzne operácie.
- Uistite sa, že AIOWPS neobmedzuje ani blokuje žiadnu z týchto metód potrebných pre REST API.
6. Konfigurácia pravidiel Custom .htaccess alebo Server: **
- Ak AIOWPS modifikuje `.htaccess` alebo konfiguračné súbory servera pre ďalšie zabezpečenie, uistite sa, že tieto pravidlá nezablokujú alebo prepíšu cestu`/wp-json/`alebo metódy HTTP používané v REST API.
- Vyhnite sa pravidlám, ktoré obmedzujú prístup k koncovým bodom REST API alebo vracajú 403 chýb pre požiadavky `/WP-JSON/`.
7. Test po každej zmene: **
- Po úprave nastavení otestujte funkčnosť REST API prístupom k koncovým bodom, ako napríklad `https: // youwebsite.com/wp-json/wp/v2/post.
- Na overenie, či koncové body API koncové body API správne reagujú, používajte nástroje ako Postman alebo prehliadač.
- Ak zostanú problémy, skontrolujte protokoly AIOWPS a protokoly ladenia WordPress, kde nájdete stopy o tom, čo sa blokuje.
8. V prípade potreby používajte prístup založený na rolách: **
- Ak si bezpečnostné potreby vyžadujú obmedzenie využitia API REST, nakonfigurujte ovládacie prvky založené na rolách v AIOWPS alebo iných doplnkoch, aby sa obmedzilo prístup k API, a nie ich blokovanie.
- Napríklad obmedzte využitie API na overených používateľov alebo určitých používateľských rolí a zároveň umožňujú prístup verejnosti k koncovým bodom, ktoré to vyžadujú.
9. Udržujte AIOWPS a WordPress aktualizované: **
- Uistite sa, že doplnok WordPress Core a AIOWPS sa aktualizujú na najnovšie verzie, pretože aktualizácie často obsahujú opravy a vylepšenia kompatibility REST API.
10. Poraďte sa s dokumentáciou a podporou doplnkov: **
- Prečítajte si oficiálnu dokumentáciu AIOWPS alebo fóra, kde nájdete všetky konkrétne pokyny alebo aktualizácie kompatibility REST API.
- Ak konflikty pokračujú, kontaktujte podporu doplnkov s podrobnosťami o prípadoch použitia API REST a konfiguráciou AIOWPS.
Príklad bežných konfliktov a opráv
- brána brány API API API:
Povoliť Whitelist pre `/WP-JSON/` v nastaveniach firewall. To bráni blokovaniu firewall v blokovaní týchto trás.
- Prihlásenie blokovania ovplyvňujúce autentifikáciu API:
Whitelist IPS alebo zakážte blokovanie používateľov API, aby ste zabránili zablokovaniu žiadostí o autentifikáciu.
- Prevencia 403 zakázaných chýb:
Vyhnite sa príliš agresívnym bezpečnostným pravidlám, ktoré obmedzujú slovesá HTTP alebo užívateľských agentov, ktoré potrebujú REST API; upraviť alebo zakázať tieto pravidlá.
Ďalšie odporúčania
- Ak chcete obmedziť iba prístup k API REST, ale vyhnúť sa funkcii prelomenia, zvážte použitie doplnkov špeciálne navrhnutých na ovládanie prístupu API REST API namiesto prikrývok brány firewall.
- Použite autentifikáciu HTTP alebo heslá aplikácie na zabezpečenie prístupu REST API spolu s AIOWPS, takže bez konfliktu koexistuje funkčnosť API REST API a bezpečnosť.
- Pravidelne monitorujte protokoly API REST API a AIOWPS bezpečnostné protokoly, aby ste zistili a vyriešili všetky vznikajúce problémy.