كيفية تعطيل REST API في WordPress

هل تريد تعطيل Rest API ولكن لا تعرف كيفية القيام بذلك؟ لا تقلق؛ لقد حصلت على تغطيتها.

في هذه المقالة ، سنشرح كيفية تعطيل Rest API في WordPress ولماذا تعتبر خطوة أساسية لأمان موقع الويب الخاص بك.

هل تعلم أن Rest API هي إحدى الطرق الأكثر شيوعًا التي يستخدمها المتسللون للوصول غير المصرح به إلى موقع ويب؟

وفقًا لشركة Sucuri ، وهي شركة رائدة في مجال أمن مواقع الويب ، فإن 73٪ من مواقع WordPress التي تم اختراقها في عام 2020 كانت بسبب المكونات الإضافية والسمات الضعيفة ، مع كون Rest API واحدة من نقاط الضعف الأساسية.

إذا كنت تتساءل عن ماهية Rest API ولماذا يعد تعطيلها أمرًا بالغ الأهمية لأمان موقع الويب الخاص بك ، فاستمر في القراءة.

في هذه المقالة ، سنقدم دليلًا تفصيليًا حول كيفية تعطيل Rest API في WordPress ونوضح لماذا يمكن أن يمنع ذلك المتسللين من استغلال نقاط الضعف في موقع الويب الخاص بك.

ما هي WordPress Rest API؟

WordPress Rest API هي واجهة تتيح للمطورين إنشاء تطبيقات الويب والجوال باستخدام بيانات منصة WordPress.

يتيح جلب المحتوى وتحديثه وحذفه من المواقع البعيدة عن طريق إنشاء طلبات HTTP. في حين أنه يوفر العديد من الفوائد ، قد يرغب بعض المستخدمين في تعطيله لأسباب أمنية أو لأغراض أخرى.

لماذا يجب عليك تعطيل WordPress REST API

إذا كنت مالك موقع WordPress ، فربما تكون قد سمعت عن ميزة REST API التي تتيح للمطورين الوصول إلى بيانات الموقع وتنفيذ الإجراءات عن بُعد.

في حين أن هذه الميزة يمكن أن تكون مفيدة ، إلا أنها تشكل أيضًا بعض المخاطر الأمنية ، ولهذا السبب يختار العديد من المستخدمين تعطيلها. فيما يلي بعض الأسباب التي تجعلك تفكر في القيام بذلك:

1. الوصول غير المصرح به: يمكن أن توفر واجهة برمجة تطبيقات REST الوصول إلى المعلومات الحساسة مثل بيانات المستخدم وبيانات اعتماد تسجيل الدخول. إذا كان موقعك يحتوي على إجراءات مصادقة أو ترخيص ضعيفة ، فيمكن للقراصنة استغلال نقاط الضعف للحصول على وصول غير مصرح به إلى موقعك.

2. هجمات القوة الغاشمة: مع تمكين واجهة برمجة تطبيقات REST ، يمكن للمهاجمين استخدام الأدوات الآلية لتقديم طلبات متكررة لنقاط نهاية واجهة برمجة التطبيقات الخاصة بموقعك ، في محاولة لتخمين أسماء المستخدمين وكلمات المرور الصالحة. هذا النوع من الهجوم يمكن أن يثقل كاهل الخادم الخاص بك ويهدد أمان موقعك.

3. هجمات DDoS: يمكن للقراصنة أيضًا استخدام واجهة برمجة تطبيقات REST لإطلاق هجمات رفض الخدمة الموزعة (DDoS) عن طريق إغراق خادم موقعك بعدد كبير من الطلبات.

لتقييد الوصول إلى WordPress REST API ، يمكنك إما استخدام المكونات الإضافية أو إضافة رمز يدويًا إلى ملف jobs.php الخاص بموقعك. من خلال تعطيل واجهة برمجة تطبيقات REST ، يمكنك تحسين أمان موقعك وحمايته من الهجمات المحتملة.

في الختام ، على الرغم من أن واجهة برمجة تطبيقات WordPress REST يمكن أن تكون أداة مفيدة للمطورين ، فمن المهم الموازنة بين الفوائد والمخاطر الأمنية. من خلال اتخاذ خطوات لتقييد الوصول إلى REST API ، يمكنك حماية موقعك من التهديدات المحتملة والحفاظ على أمان بياناتك.

كيفية تعطيل WordPress Rest API [طريقتان]

إذا كنت ترغب في تعطيل WordPress REST API لتحسين أمان وخصوصية موقع الويب الخاص بك ، فهناك طريقتان متاحتان. تتضمن الطريقة الأولى استخدام مكون إضافي ، وتتطلب الطريقة الثانية تعديل كود موقع الويب الخاص بك.

كلا الطريقتين سهلة المتابعة. من خلال تقييد الوصول إلى WordPress REST API ، يمكنك حماية موقع الويب الخاص بك من التهديدات الأمنية المحتملة.

الطريقة الأولى: استخدام البرنامج المساعد

إذا كنت قلقًا بشأن أمان موقع WordPress الخاص بك ، فإن تعطيل واجهة برمجة تطبيقات REST يمكن أن يكون إجراءً فعالاً. لحسن الحظ ، من السهل نسبيًا إنجاز هذه المهمة باستخدام المكونات الإضافية.

في هذا القسم ، سنساعدك على استخدام المكون الإضافي Disable WP REST API لتعطيل REST API على موقع الويب الخاص بك.

كل ما عليك القيام به هو تثبيت وتنشيط المكون الإضافي Disable WP REST API من الإضافات ← إضافة جديد .

هذا كل شيء! بمجرد التنشيط ، سيقوم المكون الإضافي تلقائيًا بحظر جميع الطلبات إلى REST API على موقعك للمستخدمين الذين تم تسجيل خروجهم.

يعد استخدام مكون إضافي في WordPress من أجل الوصول إلى قيود واجهة برمجة التطبيقات Rest طريقة سهلة وفعالة لتعطيل REST API على موقع WordPress الخاص بك.

يمكنك التحقق مما إذا تم تعطيل واجهة برمجة تطبيقات REST بالفعل على موقع الويب الخاص بك من هذا الرابط: yourwebsite.com/wp-json

إذا أظهر عنوان URL هذا خطأ 401 مثل هذا ، فهذا يعني أن واجهة برمجة تطبيقات REST معطلة:

الطريقة 2: تعطيل WordPress Rest API بدون البرنامج المساعد

في هذا القسم ، سنغطي طريقة تعطيل WordPress Rest API دون استخدام مكون إضافي. هذه طريقة فعالة لتأمين موقع الويب الخاص بك ومنع الوصول غير المصرح به إلى البيانات الحساسة.

اتبع هذه الخطوات لتعطيل WordPress Rest API بدون مكون إضافي:

الخطوة 1: اذهب إلى المظهر → Theme File Editor .

الخطوة 2: افتح ملف functions.php ، والصق الكود التالي في الملف:

 /** Disable REST API **/ // Filters for WP-API version 1.x add_filter('json_enabled', '__return_false'); add_filter('json_jsonp_enabled', '__return_false'); // Filters for WP-API version 2.x // add_filter('rest_enabled', '__return_false'); add_filter('rest_jsonp_enabled', '__return_false'); 

يحظر هذا الرمز طلبات REST API غير المصادق عليها من المستخدمين غير المسجلين للدخول ، مما يؤدي إلى تعطيل واجهة برمجة التطبيقات بشكل فعال لهم. يقوم هذا الرمز أيضًا بتعطيل wp-json / wp / v2 / users المعروف باسم الإصدار 2.x WP API.

الخطوة 3: احفظ التغييرات واختبرها

إذا كان كل شيء يعمل بشكل صحيح ، يجب أن تتلقى رسالة خطأ 401 غير مصرح به عند الوصول إلى نقطة النهاية كمستخدم غير مسجل الدخول.

الطريقة الثالثة: تقييد الوصول إلى WordPress Rest API

في هذا القسم ، سنناقش كيفية تقييد الوصول إلى WordPress Rest API ، والتي يمكن أن تساعد في تحسين أمان موقع الويب الخاص بك.

بتقييد الوصول ، يمكنك منع الطلبات غير المصرح بها من الوصول إلى بيانات موقعك من خلال واجهة برمجة التطبيقات.

إذا قمت بإضافة الاختيار is_user_logged_in إلى مرشح rest_authentication_errors ، فستتمكن من طلب المصادقة لجميع استدعاءات REST API التي تم إجراؤها.

إليك كيفية القيام بذلك في بضع خطوات بسيطة:

الخطوة 1: قم بالوصول إلى ملف jobs.php .

الخطوة 2: الصق الكود التالي في الملف:

 add_filter( 'rest_authentication_errors', function( $result ) { // If a previous authentication check was applied, // pass that result along without modification. if ( true === $result || is_wp_error( $result ) ) { return $result; } // No authentication has been performed yet. // Return an error if user is not logged in. if ( ! is_user_logged_in() ) { return new WP_Error( 'rest_not_logged_in', __( 'You are not currently logged in.' ), array( 'status' => 401 ) ); } // Our custom authentication check should have no effect // on logged-in requests return $result; }); 

يرجى ملاحظة أن معلمة رد الاتصال الواردة يمكن أن تظهر إما WP_Error أو قيمة boolean . يشير نوع المعلمة إلى حالة عملية المصادقة.

1. فارغة: لم يتم التحقق من المصادقة حتى الآن ، وقد تطبق خاصية رد اتصال الخطاف مصادقة مخصصة.

2. منطقي: تم التحقق من طريقة المصادقة مسبقًا. تشير القيمة الحقيقية إلى مصادقة ناجحة ، بينما تشير القيمة الخاطئة إلى فشل المصادقة.

3. WP_Error: حدث خطأ.

الخطوة 3: تحقق من موقع الويب الخاص بك للتأكد من أنه يعمل بشكل صحيح.

هذا كل شيء! من خلال هذه الخطوات البسيطة ، قمت بتقييد الوصول إلى WordPress Rest API ، مما يجعل موقع الويب الخاص بك أكثر أمانًا.

ملاحظة مهمة: قد تؤثر هذه الطريقة على بعض المكونات الإضافية أو السمات التي تعتمد على Rest API ، لذا تأكد من اختبار موقع الويب الخاص بك تمامًا بعد إجراء هذا التغيير.

التعليمات

خاتمة

ناقشنا أهمية تعطيل Rest API في WordPress لتعزيز أمان الموقع والخصوصية. لقد راجعنا العملية خطوة بخطوة لتعطيل Rest API من خلال طرق مختلفة. باتباع هذه الطرق ، يمكنك بسهولة تأمين موقع الويب الخاص بك من التهديدات المحتملة.

نقدر لك الوقت الذي قضيته في قراءة هذه المقالة ونأمل أن تكون مفيدة لك. إذا كانت لديك أي أسئلة أو واجهت أي مشاكل أثناء اتباع الخطوات المذكورة في هذه المقالة ، فلا تتردد في طرحها في قسم التعليقات أدناه. فريقنا موجود دائمًا لمساعدتك.

للبقاء على اطلاع دائم بأحدث البرامج التعليمية والأخبار في WordPress ، تأكد من متابعة BetterStudio على Facebook و Twitter. يشارك فريقنا بانتظام النصائح والحيل المفيدة لمساعدة مالكي مواقع الويب على تحسين وجودهم عبر الإنترنت.