Vtičnik All In One WP Security (AIOWPS) je celovita varnostna rešitev za WordPress, ki vključuje številne funkcije za zaščito spletnega mesta, od katerih nekatere lahko motijo API WordPress REST. WordPress REST API je močno orodje, ki zunanjem aplikacijam in storitvam omogoča programsko interakcijo s spletnim mestom WordPress. Ko varnostne nastavitve AIOWPS v nasprotju z API -jem REST, lahko to povzroči težave s funkcionalnostmi, zlasti za vtičnike ali teme, ki se zanašajo na klice API -ja REST.
Če želite konfigurirati AIOWP, da se izognete konfliktom z API -jem WordPress REST, morate razumeti načine, kako lahko AIOWP blokirajo ali omejijo dostop do API -ja za REST, nato pa skrbno prilagodite nastavitve, da omogočite legitimne zahteve API -ja, hkrati pa ohranite varnost.
Razumevanje konflikta
AIOWPS ima funkcije, kot so pravila požarnega zidu, blokiranje IP in mehanizmi za omejevanje dostopa, ki lahko blokirajo ali filtrirajo končne točke API-ja REST, ki jih običajno dostopate prek URL-jev, začenši z `/WP-JSON/`. Te omejitve lahko privedejo do tega, da klici API ne uspejo ali vrnejo napake 403/404. Vtičnik lahko tudi omeji uporabo nekaterih metod HTTP (na primer post, postavitev, brisanje), ki so pomembne za overjene zahteve API -ja.
Koraki za konfiguriranje AIOWPS za združljivost API -ja za počitek
1. Dostop do končne točke API -ja za belico: **
- Opredelite poti REST API -ja, ki morajo biti dostopne. Končne točke API-ja privzeto se začnejo z `/wp-json/`.
- V nastavitvah požarnega zidu AIOWPS ali nastavitvami nadzora dostopa na ligi ali izključite to pot, da ni blokirana ali omejena.
- V nekaterih različicah AIOWPS lahko izrecno dodate izjeme ali dovoljene URL -je v nastavitvah na požarnem zidu ali uporabniškem za prijavo.
2. Onemogoči blokiranje klicev API -ja za REST: **
- AIOWPS lahko blokira tisto, kar se mu zdi kot sumljive ali nepooblaščene zahteve. Ker klici API REST pogosto uporabljajo Ajax ali nestandardne glave zahtev, jih je mogoče označiti.
- Poiščite nastavitve, imenovane podobno kot  Block REST API,  Onemogoči REST API za neobjavljene uporabnike, zaščita API-ja za REST.â
- Onemogočite takšne možnosti, da preprečite, da bi AIOWP oviral zakonite zahteve za REST.
3. Prilagodite zaščito pred surovo silo: **
- AIOWPS vključuje funkcije za grobo silo in zaklepanje.
- Zahteve za REST, ki vključujejo preverjanje pristnosti, so lahko blokirane, če jih AIOWPS označi kot sumljive večkratne poskuse.
- Prilagodite nastavitve surove sile, da se izognete napačnim pozitivnim poskusom pristnosti API -ja REST, ali na beli IPS, ki je zaupal klici API.
4. Uporabniški agent in referenčni nabor: **
- Včasih AIOWPS blokira zahteve, ki temeljijo na glavah uporabniškega agenta ali referente.
- Za zagotovitev, da so njihove zahteve za REST API, lahko na beli znani uporabniški agenti (na primer tisti, ki jih uporabljajo vaši potrošniki API -ja).
5. Dovoli metode HTTP: **
- API REST se za različne operacije opira na različne metode HTTP (get, post, postavi, izbrisati).
- Prepričajte se, da AIOWPS ne omejuje ali blokira nobene od teh metod, ki jih potrebuje REST API.
6. Konfiguracija pravil po meri .htaccess ali strežnika: **
- Če AIOWPS spremeni `.htaccess` ali konfiguracijske datoteke strežnika za dodatno varnost, zagotovite, da ta pravila ne blokirajo ali prepišejo poti`/wp-json/`ali metode HTTP, ki jih uporablja API REST.
- Izogibajte se pravilom, ki omejujejo dostop do končnih točk API-ja REST ali vrnejo 403 napak za zahteve `/wp-json/`.
7. test po vsaki spremembi: **
- Po nastavitvi nastavitve preizkusite funkcionalnost REST API-ja z dostopom do končnih točk, kot je `https: // yourwebsite.com/wp-json/wp/v2/posts`.
- Uporabite orodja, kot so Postman ali Klici brskalnika, da preverite, ali se končne točke API pravilno odzovejo.
- Če težave ostanejo, preverite dnevnike AIOWPS in dnevnike za odpravljanje napak WordPress za namige o tem, kaj se blokira.
8. Po potrebi uporabite dostop do vlog: **
- Če varnostne potrebe zahtevajo omejevanje uporabe REST API-ja, konfigurirajte kontrole, ki temeljijo na vlogah, v AIOWPS ali drugih vtičnikih, da omejite dostop API, namesto da ga takoj blokirajo.
- Na primer, omejite uporabo API -ja na overjene uporabnike ali določene uporabniške vloge, hkrati pa omogočajo javni dostop do končnih točk, ki ga zahtevajo.
9. Posodobljeno AIOWPS in WordPress: **
- Zagotovite, da sta WordPress Core in AIOWPS vtičnik posodobljen na najnovejše različice, saj posodobitve pogosto vsebujejo popravke in izboljšave za združljivost API REST.
10. Posvetujte se dokumentacijo in podporo vtičnika: **
- Preglejte uradno dokumentacijo AIOWPS ali forume za kakršna koli posebna navodila ali posodobitve o združljivosti API -ja REST.
- Če se konflikti nadaljujejo, se obrnite na podporo vtičnika s podrobnostmi o primerih API -ja REST in konfiguraciji AIOWPS.
Primer skupnih konfliktov in popravkov
- Požarni zid, ki blokira dostop API -ja:
Omogočite beli del za `/wp-json/` v nastavitvah požarnega zidu. To preprečuje, da bi požarni zid blokiral te poti.
- Zapiranje prijave, ki vpliva na preverjanje pristnosti API -ja:
Beli ips ali onemogoči zaklepanje uporabnikov API -ja, da preprečijo, da bi zahteve za preverjanje pristnosti blokirale.
- preprečevanje 403 prepovedanih napak:
Izogibajte se preveč agresivnim varnostnim pravilom, ki omejujejo glagole HTTP ali uporabnike, ki jih potrebujejo preostali API; Prilagodite ali onemogočite ta pravila.
Dodatna priporočila
- Če želite omejiti samo dostop do API -ja za REST, vendar se izogibajte lomljenju funkcionalnosti, razmislite o uporabi vtičnikov, posebej zasnovanih za nadzor dostopa do API -ja REST, ne pa blokov požarnega zidu.
- Za zaščito dostopa API -ja za REST skupaj z AIOWPS uporabite gesla za preverjanje pristnosti ali aplikacije HTTP, zato brez konfliktov sobivajo funkcionalnost API -ja in varnostna sobivata.
- Redno spremljajte dnevnike API -jev REST in varnostne dnevnike AIOWPS, da odkrijete in rešite kakršne koli nastajajoče težave.