WordPress'te REST API Nasıl Devre Dışı Bırakılır?
Yayınlanan: 2023-05-28Rest API'yi devre dışı bırakmak istiyor ancak bunu nasıl yapacağınızı bilmiyor musunuz? Merak etme; seni koruduk
Bu yazıda, WordPress'te Rest API'yi nasıl devre dışı bırakacağınızı ve bunun web sitenizin güvenliği için neden önemli bir adım olduğunu açıklayacağız.
Rest API'nin bilgisayar korsanlarının bir web sitesine yetkisiz erişim elde etmek için kullandıkları en yaygın yollardan biri olduğunu biliyor muydunuz?
Önde gelen bir web sitesi güvenlik şirketi olan Sucuri'ye göre, 2020'de saldırıya uğramış WordPress web sitelerinin %73'ü savunmasız eklentiler ve temalardan kaynaklanıyordu ve Rest API birincil güvenlik açıklarından biri.
Rest API'nin ne olduğunu ve devre dışı bırakmanın web sitenizin güvenliği için neden önemli olduğunu merak ediyorsanız okumaya devam edin.
Bu yazıda, WordPress'te Rest API'nin nasıl devre dışı bırakılacağına dair adım adım bir kılavuz sunacağız ve bunu yapmanın bilgisayar korsanlarının web sitenizin güvenlik açıklarından yararlanmasını neden engelleyebileceğini açıklayacağız.
WordPress Rest API'si nedir?
WordPress Rest API, geliştiricilerin WordPress platformunun verilerini kullanarak web ve mobil uygulamalar oluşturmasına olanak tanıyan bir arayüzdür.
HTTP istekleri oluşturarak uzak konumlardan içerik getirmeyi, güncellemeyi ve silmeyi sağlar. Çok sayıda avantaj sunarken, bazı kullanıcılar güvenlik nedenleriyle veya başka amaçlarla devre dışı bırakmak isteyebilir.
Neden WordPress REST API'sini Devre Dışı Bırakmalısınız?
Bir WordPress web sitesi sahibiyseniz, geliştiricilerin site verilerine erişmesine ve eylemleri uzaktan gerçekleştirmesine olanak tanıyan REST API özelliğini duymuş olabilirsiniz.
Bu özellik yararlı olabilse de bazı güvenlik riskleri de taşır, bu nedenle birçok kullanıcı bu özelliği devre dışı bırakmayı tercih eder. Bunu yapmayı düşünmenizin bazı nedenleri şunlardır:
1. Yetkisiz Erişim: REST API, kullanıcı verileri ve oturum açma kimlik bilgileri gibi hassas bilgilere erişim sağlayabilir. Sitenizde zayıf kimlik doğrulama veya yetkilendirme önlemleri varsa, bilgisayar korsanları sitenize yetkisiz erişim elde etmek için güvenlik açıklarından yararlanabilir.
2. Kaba Kuvvet Saldırıları: REST API etkinleştirildiğinde, saldırganlar otomatik araçları kullanarak sitenizin API uç noktalarına tekrarlanan isteklerde bulunabilir ve geçerli kullanıcı adlarını ve parolaları tahmin etmeye çalışabilir. Bu tür bir saldırı, sunucunuzu aşırı yükleyebilir ve sitenizin güvenliğini tehlikeye atabilir.
3. DDoS Saldırıları: Bilgisayar korsanları, sitenizin sunucusunu aşırı sayıda istekle ezerek dağıtılmış hizmet reddi (DDoS) saldırıları başlatmak için REST API'yi de kullanabilir.
WordPress REST API'sine erişimi kısıtlamak için eklentileri kullanabilir veya sitenizin functions.php dosyasına manuel olarak kod ekleyebilirsiniz. REST API'yi devre dışı bırakarak sitenizin güvenliğini artırabilir ve olası saldırılara karşı koruma sağlayabilirsiniz.
Sonuç olarak, WordPress REST API geliştiriciler için faydalı bir araç olsa da, faydaları güvenlik risklerine karşı tartmak önemlidir. REST API'ye erişimi kısıtlamak için adımlar atarak sitenizi potansiyel tehditlere karşı koruyabilir ve verilerinizi güvende tutabilirsiniz.
WordPress Rest API Nasıl Devre Dışı Bırakılır [2 Yöntem]
Web sitenizin güvenliğini ve gizliliğini artırmak için WordPress REST API'sini devre dışı bırakmak istiyorsanız, kullanabileceğiniz iki yöntem vardır. İlk yöntem bir eklenti kullanmayı içerir ve ikinci yöntem web sitenizin kodunu değiştirmeyi gerektirir.
Her iki yöntemi de takip etmek kolaydır. WordPress REST API'sine erişimi kısıtlayarak web sitenizi potansiyel güvenlik tehditlerinden koruyabilirsiniz.
Yöntem 1: Bir Eklenti Kullanın
WordPress web sitenizin güvenliği konusunda endişeleriniz varsa, REST API'yi devre dışı bırakmak etkili bir önlem olabilir. Şans eseri, eklentileri kullanarak bu görevi gerçekleştirmek nispeten basittir.
Bu bölümde, web sitenizde REST API'yi devre dışı bırakmak için WP REST API'yi Devre Dışı Bırak eklentisini kullanmanıza yardımcı olacağız.
Tek yapmanız gereken Eklentiler → Yeni Ekle'den Devre Dışı Bırak WP REST API eklentisini kurup etkinleştirmek.
Bu kadar! Etkinleştirildiğinde eklenti, oturumu kapatan kullanıcılar için sitenizdeki REST API'ye yapılan tüm istekleri otomatik olarak engeller.
Rest API kısıtlama erişimi için WordPress'te bir eklenti kullanmak, WordPress sitenizde REST API'yi devre dışı bırakmanın kolay ve etkili bir yoludur.
REST API'nin web sitenizde gerçekten devre dışı olup olmadığını şu bağlantıdan kontrol edebilirsiniz: yourwebsite.com/wp-json
Bu URL, bunun gibi bir 401 hatası gösteriyorsa, REST API devre dışı bırakılmış demektir:
Yöntem 2: Eklenti Olmadan WordPress Rest API'yi Devre Dışı Bırakma
Bu bölümde, bir eklenti kullanmadan WordPress Rest API'yi devre dışı bırakma yöntemini ele alacağız. Bu, web sitenizin güvenliğini sağlamanın ve hassas verilere yetkisiz erişimi önlemenin etkili bir yoludur.
Eklenti olmadan WordPress Rest API'yi devre dışı bırakmak için şu adımları izleyin:
ADIM 1: Görünüm → Tema Dosyası Düzenleyici'ye gidin.
ADIM 2: functions.php dosyasını açın ve aşağıdaki kodu dosyaya yapıştırın:
/** Disable REST API **/ // Filters for WP-API version 1.x add_filter('json_enabled', '__return_false'); add_filter('json_jsonp_enabled', '__return_false'); // Filters for WP-API version 2.x // add_filter('rest_enabled', '__return_false'); add_filter('rest_jsonp_enabled', '__return_false'); 
Bu kod, oturum açmamış kullanıcılardan gelen kimliği doğrulanmamış REST API isteklerini engeller ve onlar için API'yi etkin bir şekilde devre dışı bırakır. Bu kod ayrıca sürüm 2.x WP API olarak bilinen wp-json/wp/v2/users'ı da devre dışı bırakır.
ADIM 3: Değişikliklerinizi Kaydedin ve Test Edin
Her şey düzgün çalışıyorsa, oturum açmamış bir kullanıcı olarak uç noktaya erişirken 401 Yetkisiz bir hata mesajı almalısınız.
Yöntem 3: WordPress Rest API'sine Erişimi Kısıtlayın
Bu bölümde, web sitenizin güvenliğini artırmaya yardımcı olabilecek WordPress Rest API'ye erişimi nasıl kısıtlayacağımızı tartışacağız.
Erişimi kısıtlayarak, yetkisiz isteklerin API aracılığıyla sitenizin verilerine erişmesini engelleyebilirsiniz.
is_user_logged_in kontrolünü rest_authentication_errors filtresine eklerseniz, yapılan tüm REST API çağrıları için kimlik doğrulaması talep edebileceksiniz.
Bunu birkaç basit adımda şu şekilde yapabilirsiniz:
ADIM 1: functions.php dosyasına erişin.
ADIM 2: Aşağıdaki kodu dosyaya yapıştırın:
add_filter( 'rest_authentication_errors', function( $result ) { // If a previous authentication check was applied, // pass that result along without modification. if ( true === $result || is_wp_error( $result ) ) { return $result; } // No authentication has been performed yet. // Return an error if user is not logged in. if ( ! is_user_logged_in() ) { return new WP_Error( 'rest_not_logged_in', __( 'You are not currently logged in.' ), array( 'status' => 401 ) ); } // Our custom authentication check should have no effect // on logged-in requests return $result; }); 
Lütfen gelen geri çağırma parametresinin WP_Error veya bir boolean değer sağlayabileceğini unutmayın. Parametrenin türü, kimlik doğrulama işleminin durumunu gösterir.
1. null: Kimlik doğrulama henüz kontrol edilmedi ve kanca geri araması özel kimlik doğrulaması uygulayabilir.
2. boolean: Kimlik doğrulama yöntemi önceden kontrol edildi. Doğru değer, başarılı bir kimlik doğrulamayı gösterirken, yanlış bir değer, başarısız bir kimlik doğrulamayı gösterir.
3. WP_Error: Bir hata oluştu.
ADIM 3: Düzgün çalıştığından emin olmak için web sitenizi kontrol edin.
Bu kadar! Bu basit adımlarla WordPress Rest API'ye erişimi kısıtlayarak web sitenizi daha güvenli hale getirdiniz.
Önemli Not: Bu yöntem, Rest API'sine dayanan bazı eklentileri veya temaları etkileyebilir, bu nedenle bu değişikliği yaptıktan sonra web sitenizi iyice test ettiğinizden emin olun.
SSS
Rest API'yi devre dışı bırakmak, Rest API istekleri aracılığıyla sitenizin verilerine ve işlevlerine yetkisiz erişimi önleyerek web sitenizin güvenliğini artırmanıza yardımcı olabilir.
WordPress'te Rest API'yi devre dışı bırakmanın birkaç yolu vardır, ancak en kolay yöntem, herhangi bir kodlama yapmadan Rest API'yi kolayca devre dışı bırakmanıza izin veren WP REST API'yi Devre Dışı Bırak gibi bir eklenti kullanmaktır.
Rest API'yi devre dışı bırakmak, düzgün çalışması için Rest API isteklerine dayanan bazı eklentilerin veya temaların işlevselliğini etkileyebilir. Ancak, çoğu eklenti ve tema normal şekilde çalışmaya devam etmelidir.
Çözüm
Web sitesi güvenliğini ve gizliliğini artırmak için WordPress'te Rest API'yi devre dışı bırakmanın önemini tartıştık. Çeşitli yöntemlerle Rest API'yi devre dışı bırakma sürecini adım adım inceledik. Bu yöntemleri izleyerek, web sitenizi olası tehditlerden kolayca koruyabilirsiniz.
Bu makaleyi okumak için zaman ayırdığınız için teşekkür ederiz ve sizin için yararlı olduğunu umarız. Bu makalede belirtilen adımları uygularken herhangi bir sorunuz varsa veya herhangi bir sorunla karşılaşırsanız, lütfen aşağıdaki yorum bölümünde bize sormaktan çekinmeyin. Ekibimiz size yardımcı olmak için her zaman burada.
En son WordPress eğitimleri ve haberlerinden haberdar olmak için Facebook ve Twitter'da BetterStudio'yu takip ettiğinizden emin olun. Ekibimiz, web sitesi sahiplerinin çevrimiçi varlıklarını optimize etmelerine yardımcı olmak için düzenli olarak yararlı ipuçları ve püf noktaları paylaşıyor.