Bảo mật API wordpress và vô hiệu hóa REST API (wp-json)

Việc bảo mật API WordPress và vô hiệu hóa REST API cũng là một phần quan trọng để đảm bảo an toàn cho trang web. REST API (wp-json) trong WordPress cho phép các ứng dụng khác gửi yêu cầu HTTP để truy cập và tương tác với dữ liệu trang web, chẳng hạn như lấy thông tin về bài viết, trang, danh mục, hình ảnh và nhiều nội dung khác. Tuy nhiên, sử dụng REST API cũng mang theo một số rủi ro bảo mật.

Cách bảo mật API wordpress và vô hiệu hóa REST API (wp-json)

Sử dụng API JSON giúp cho việc tích hợp dữ liệu từ WordPress vào các ứng dụng di động, trang web khác, hoặc các dịch vụ bên ngoài trở nên dễ dàng. Nếu bạn truy cập /wp-json/wp/v2/posts hoặc /wp-json/wp/v2/pages, bạn có thể lấy thông tin về các bài viết hoặc trang của trang web WordPress.

Hoặc nếu bạn truy câp https://itsmeit.co/wp-json/ nó sẽ hiển thị các thông tin REST API mà trang web đang cho phép.

Những rủi ro bảo mật liên quan đến REST API

• Rò rỉ thông tin quan trọng: Nếu không được cấu hình đúng cách, REST API có thể tiết lộ thông tin nhạy cảm, chẳng hạn như tên người dùng, địa chỉ email hoặc dữ liệu cá nhân khác. Cơ bản nhất ItsmeIT thấy rằng nó hiển thị tên plugin, theme và các API của nó đang sử dụng.

• Tấn công brute force: Tấn công brute force có thể được thực hiện bằng cách liệt kê thông tin tài khoản và thử đăng nhập bằng cách sử dụng REST API, gây ra nguy cơ bị tấn công.
• Thay đổi dữ liệu trang web: Nếu không có các biện pháp bảo mật cần thiết, kẻ tấn công có thể thay đổi dữ liệu trang web thông qua REST API.

Cách vô hiệu hóa / disable REST API WordPress (wp-json)

Để đảm bảo an toàn cho trang web WordPress và bảo vệ khỏi các rủi ro bảo mật liên quan đến REST API, bạn có thể thực hiện các biện pháp sau để bảo mật API wordpress:

Cách 1: Sử dụng mã tùy chỉnh vào functions.php

Bạn có thể thêm mã tùy chỉnh vào file functions.php của theme mà bạn đang sử dụng để vô hiệu hóa REST API. Ví dụ, bạn có thể sử dụng mã sau để vô hiệu hóa REST API cho tất cả các yêu cầu trừ những yêu cầu từ admin giúp bảo mật API wordpress:

add_filter( 'rest_authentication_errors', function( $result ) {
    if ( true === $result || is_wp_error( $result ) ) {
        return $result;
    }
    
    // Return an error if user is not administrator.
    if ( !current_user_can('administrator') ) {
        return new WP_Error(
            'rest_not_logged_in',
            __( 'You are not currently logged in.' ),
            array( 'status' => 401 )
        );
    }
    return $result;
});

Cách 2: Sử dụng plugin để quản lý và disable API (wp-json)

Có nhiều plugin bảo mật WordPress có thể giúp bạn vô hiệu hóa REST API một cách dễ dàng. Những plugin này cung cấp các tùy chọn để bạn có thể tắt hoặc giới hạn quyền truy cập đến REST API theo mong muốn. Bạn có thể bấm vào link bên dưới đây để tải về và cài đặt trên trang wordpress của mình.

Link download: Disable WP REST API (Jeff Starr) | Disable REST API (Dave McHale)

REST API (wp-json) trong WordPress cung cấp tính năng mạnh mẽ cho việc tích hợp và tương tác với dữ liệu trang web, nhưng cũng đòi hỏi sự quan tâm đến bảo mật. Bằng cách thực hiện các biện pháp bảo mật và vô hiệu hóa REST API khi cần thiết, bạn có thể bảo vệ dữ liệu quan trọng và tránh các rủi ro bảo mật tiềm tàng. Bạn đã sử dụng cách nào? Hãy để lại bình luận bên dưới nhé!