WordPress에서 REST API를 비활성화하는 방법

Rest API를 비활성화하고 싶은데 방법을 모르십니까? 괜찮아요; 우리는 당신을 덮었습니다.

이 기사에서는 WordPress에서 Rest API를 비활성화하는 방법과 이것이 웹 사이트 보안에 필수적인 단계인 이유를 설명합니다.

Rest API가 해커가 웹 사이트에 대한 무단 액세스 권한을 얻기 위해 사용하는 가장 일반적인 방법 중 하나라는 사실을 알고 계셨습니까?

선도적인 웹 사이트 보안 회사인 Sucuri에 따르면 2020년에 해킹된 WordPress 웹 사이트의 73%는 취약한 플러그인 및 테마로 인한 것이며 Rest API는 주요 취약점 중 하나입니다.

Rest API가 무엇인지, 비활성화하는 것이 웹 사이트 보안에 중요한 이유가 궁금하다면 계속 읽으십시오.

이 기사에서는 WordPress에서 Rest API를 비활성화하는 방법에 대한 단계별 가이드를 제공하고 이렇게 하면 해커가 웹 사이트의 취약성을 악용하는 것을 방지할 수 있는 이유를 설명합니다.

WordPress Rest API란 무엇입니까?

WordPress Rest API는 개발자가 WordPress 플랫폼의 데이터를 사용하여 웹 및 모바일 애플리케이션을 구축할 수 있는 인터페이스입니다.

HTTP 요청을 생성하여 원격 위치에서 콘텐츠를 가져오고, 업데이트하고, 삭제할 수 있습니다. 다양한 이점을 제공하지만 일부 사용자는 보안상의 이유나 다른 목적으로 비활성화할 수 있습니다.

WordPress REST API를 비활성화해야 하는 이유

WordPress 웹사이트 소유자라면 개발자가 사이트 데이터에 액세스하고 원격으로 작업을 수행할 수 있는 REST API 기능에 대해 들어보셨을 것입니다.

이 기능은 유용할 수 있지만 일부 보안 위험이 있기 때문에 많은 사용자가 비활성화를 선택합니다. 그렇게 하는 것을 고려해야 하는 몇 가지 이유는 다음과 같습니다.

1. 무단 액세스: REST API는 사용자 데이터 및 로그인 자격 증명과 같은 민감한 정보에 대한 액세스를 제공할 수 있습니다. 사이트의 인증 또는 권한 부여 조치가 취약한 경우 해커가 취약성을 악용하여 사이트에 대한 무단 액세스 권한을 얻을 수 있습니다.

2. 무차별 암호 대입 공격: REST API를 활성화하면 공격자는 자동화된 도구를 사용하여 사이트의 API 끝점에 반복적으로 요청하여 유효한 사용자 이름과 암호를 추측하려고 시도할 수 있습니다. 이러한 유형의 공격은 서버에 과부하를 일으키고 사이트의 보안을 손상시킬 수 있습니다.

3. DDoS 공격: 해커는 REST API를 사용하여 과도한 수의 요청으로 사이트 서버를 압도하여 분산 서비스 거부(DDoS) 공격을 시작할 수도 있습니다.

WordPress REST API에 대한 액세스를 제한하려면 플러그인을 사용하거나 사이트의 functions.php 파일에 수동으로 코드를 추가할 수 있습니다. REST API를 비활성화하면 사이트의 보안을 강화하고 잠재적인 공격으로부터 보호할 수 있습니다.

결론적으로 WordPress REST API는 개발자에게 유용한 도구가 될 수 있지만 보안 위험과 이점을 비교하는 것이 중요합니다. REST API에 대한 액세스를 제한하는 단계를 수행하면 잠재적인 위협으로부터 사이트를 보호하고 데이터를 안전하게 유지할 수 있습니다.

WordPress Rest API를 비활성화하는 방법 [2 ​​가지 방법]

웹 사이트의 보안 및 개인 정보 보호를 개선하기 위해 WordPress REST API를 비활성화하려는 경우 두 가지 방법을 사용할 수 있습니다. 첫 번째 방법은 플러그인을 사용하는 것이고 두 번째 방법은 웹사이트의 코드를 수정하는 것입니다.

두 방법 모두 따라하기 쉽습니다. WordPress REST API에 대한 액세스를 제한하여 잠재적인 보안 위협으로부터 웹 사이트를 보호할 수 있습니다.

방법 1: 플러그인 사용

WordPress 웹 사이트의 보안이 우려되는 경우 REST API를 비활성화하는 것이 효과적인 조치가 될 수 있습니다. 운 좋게도 플러그인을 사용하여 이 작업을 수행하는 것은 비교적 간단합니다.

이 섹션에서는 WP REST API 비활성화 플러그인을 활용하여 웹 사이트에서 REST API를 비활성화하도록 도와드립니다.

Plugins → Add New 에서 Disable WP REST API 플러그인을 설치하고 활성화하기만 하면 됩니다.

그게 다야! 플러그인이 활성화되면 로그아웃한 사용자를 위해 사이트에서 REST API에 대한 모든 요청을 자동으로 차단합니다.

Rest API 제한 액세스를 위해 WordPress에서 플러그인을 사용하는 것은 WordPress 사이트에서 REST API를 비활성화하는 쉽고 효과적인 방법입니다.

다음 링크에서 웹사이트에서 REST API가 실제로 비활성화되어 있는지 확인할 수 있습니다. yourwebsite.com/wp-json

이 URL에 다음과 같은 401 오류가 표시되면 REST API가 비활성화되었음을 의미합니다.

방법 2: 플러그인 없이 WordPress Rest API 비활성화

이 섹션에서는 플러그인을 사용하지 않고 WordPress Rest API를 비활성화하는 방법을 다룹니다. 이는 웹 사이트를 보호하고 민감한 데이터에 대한 무단 액세스를 방지하는 효과적인 방법입니다.

플러그인 없이 WordPress Rest API를 비활성화하려면 다음 단계를 따르십시오.

1단계: 모양 → 테마 파일 편집기 로 이동합니다.

2단계: functions.php 파일을 열고 다음 코드를 파일에 붙여넣습니다.

 /** Disable REST API **/ // Filters for WP-API version 1.x add_filter('json_enabled', '__return_false'); add_filter('json_jsonp_enabled', '__return_false'); // Filters for WP-API version 2.x // add_filter('rest_enabled', '__return_false'); add_filter('rest_jsonp_enabled', '__return_false'); 

이 코드는 로그인하지 않은 사용자의 인증되지 않은 REST API 요청을 차단하여 API를 효과적으로 비활성화합니다. 이 코드는 버전 2.x WP API로 알려진 wp-json/wp/v2/users도 비활성화합니다.

3단계: 변경 사항 저장 및 테스트

모든 것이 올바르게 작동하면 로그인하지 않은 사용자로 엔드포인트에 액세스할 때 401 Unauthorized 오류 메시지를 수신해야 합니다.

방법 3: WordPress Rest API에 대한 액세스 제한

이 섹션에서는 웹 사이트의 보안을 개선하는 데 도움이 되는 WordPress Rest API에 대한 액세스를 제한하는 방법에 대해 설명합니다.

액세스를 제한하면 승인되지 않은 요청이 API를 통해 사이트 데이터에 액세스하는 것을 방지할 수 있습니다.

is_user_logged_in 검사를 rest_authentication_errors 필터에 추가하면 모든 REST API 호출에 대해 인증을 요구할 수 있습니다.

몇 가지 간단한 단계로 수행할 수 있는 방법은 다음과 같습니다.

1단계: functions.php 파일에 액세스합니다.

2단계: 다음 코드를 파일에 붙여넣습니다.

 add_filter( 'rest_authentication_errors', function( $result ) { // If a previous authentication check was applied, // pass that result along without modification. if ( true === $result || is_wp_error( $result ) ) { return $result; } // No authentication has been performed yet. // Return an error if user is not logged in. if ( ! is_user_logged_in() ) { return new WP_Error( 'rest_not_logged_in', __( 'You are not currently logged in.' ), array( 'status' => 401 ) ); } // Our custom authentication check should have no effect // on logged-in requests return $result; }); 

들어오는 콜백 매개변수는 WP_Error 또는 boolean 값을 나타낼 수 있습니다. 매개변수 유형은 인증 프로세스의 상태를 나타냅니다.

1. null: 인증이 아직 확인되지 않았으며 후크 콜백이 사용자 지정 인증을 적용할 수 있습니다.

2. 부울: 인증 방법이 이전에 확인되었습니다. true 값은 인증 성공을 나타내고 false 값은 인증 실패를 나타냅니다.

3. WP_Error: 오류가 발생했습니다.

3단계: 웹사이트가 제대로 작동하는지 확인하십시오.

그게 다야! 이 간단한 단계를 통해 WordPress Rest API에 대한 액세스를 제한하여 웹사이트를 더욱 안전하게 만들 수 있습니다.

중요 참고 사항: 이 방법은 Rest API에 의존하는 일부 플러그인 또는 테마에 영향을 미칠 수 있으므로 변경 후 웹사이트를 철저히 테스트해야 합니다.

자주하는 질문

결론

웹 사이트 보안 및 개인 정보 보호를 강화하기 위해 WordPress에서 Rest API를 비활성화하는 것의 중요성에 대해 논의했습니다. 다양한 방법을 통해 Rest API를 비활성화하는 단계별 프로세스를 살펴보았습니다. 이러한 방법을 따르면 잠재적인 위협으로부터 웹 사이트를 쉽게 보호할 수 있습니다.

시간을 내어 이 기사를 읽어 주셔서 감사드리며 도움이 되셨기를 바랍니다. 이 문서에 언급된 단계를 수행하는 동안 질문이 있거나 문제가 발생하면 아래 의견 섹션에서 언제든지 문의하십시오. 우리 팀은 항상 당신을 돕기 위해 여기 있습니다.

최신 WordPress 자습서 및 뉴스를 최신 상태로 유지하려면 Facebook 및 Twitter에서 BetterStudio를 팔로우하십시오. 우리 팀은 웹 사이트 소유자가 온라인 인지도를 최적화하는 데 도움이 되는 유용한 팁과 요령을 정기적으로 공유합니다.