API REST của WordPress cung cấp giao thức kết nối đồng bộ dữ liệu cho WordPress.
Điều này cho phép các nhà phát triển, lập trình viên tương tác với các trang web từ xa bằng cách gửi và nhận các JSON. Tuy nhiên, hầu hết chủ sở hữu trang web, các webmasster nhu cầu cơ bản không cần các tính năng này và có thể tắt API WordPress JSON REST hoặc các webmasster có nhu cầu sử dụng API REST có thể tối ưu lại API REST cho chính xác nhu cầu của mình.
Mình sẽ chia sẻ hướng dẫn cách tắt hoặc tối ưu API REST WordPress chỉ bằng một plugin là có thể sử dụng lý công việc này một cách dễ dàng dù bạn không cần biết lập trình thì bạn vẫn dễ dàng làm được.
trong quá trình tôi viết code plugin tùy chỉnh cấu trúc lỗi core WordPress tôi đang viết về API REST thì tôi đi tìm các tài liệu trên internet thì nhận ra rằng plugin này làm cực kì tốt và rất ngon. plugin là cấu trúc code rất tốt và load rất nhanh đặc biệt không thêm bất cứ thứ gì vào cơ sở dữ liệu.
mình nghĩa chắc không cần mình trích xuất đoạn code mình viết lên làm gì cả, nhiều bạn không biết về lập trình cũng khó để sửa lại theo chính xác nhu cầu mà plugin này đã làm quá ngon rồi.
Không ai có thể phủ nhận những lợi ích mà API này mang lại cho các nhà phát triển WordPress đặc biệt là các nhà phát triển plugin. Nói một cách đơn giản, nó cho phép các nhà phát triển truy xuất dữ liệu rất dễ dàng bằng cách sử dụng các yêu cầu GET. Chức năng này rất hữu ích để đồng bộ kết nối dữ liệu từ bên máy chủ khác về đến máy chủ của mình trong WordPress.
Như đã nói, mặc dù điều này rất hữu ích cho các nhà phát triển lập trình viên, nhưng hầu hết các chủ sở hữu trang web không cần nó. Trên thực tế, nó thực sự có thể mở trang web WordPress của bạn trước các cuộc tấn công DDoS và vẫn để lộ một cách cổng về bảo mật. Nó cũng có thể rất nặng tài nguyên và làm chậm trang web của bạn.
API REST ra đời gần như để thay đổi XML-RPC ( XML-RPC rất nhiều người dùng phàn nàn về bảo mật) API REST thì làm tốt hơn rất nhiều XML-RPC, bạn có thể tìm hiểu hướng dẫn tắt XML-RPC
Một trang web tải chậm không phải là điều bạn muốn và khách hàng của bạn cũng thế.
Hãy cùng xem API REST của WordPress là gì và sau đó tôi sẽ chỉ cho bạn cách bạn có thể dễ dàng vô hiệu hóa và tối ưu nó bằng cách sử dụng một plugin WordPress API rắn.
Chùng mình phải cần tìm hiểu chứ để xem bạn cần bật cài gì và tắt cái gì không thì cẩn thận website của bạn sẽ bị lỗi. (lỗi ở đây thường không nghiên trọng lắm đâu chỉ không sử dụng được kết nối từ xa thôi không phải là lỗi đến mức không truy cập được vào website đâu.)
Mục lục
WordPress Rest API là gì?
WordPress Rest API được tính hợp sẵn trong WordPress core từ bản 4.4 trở đi.
WordPress Rest API là một tính năng dành cho nhà phát triển trong WordPress. Khái niệm WordPress Rest API thì các lập trình viên cao thủ thì khoản này họ lắm chắc trong lòng bàn tay rồi mình không đủ thượng thừa để nêu lại khái niệm cho những lập trình viên cao thủ, tôi sẽ giải thích đơn giản hết mức nhất có thể dành cho những người quản trị viên WordPress.
WordPress Rest API cung cấp quyền truy cập dữ liệu vào nội dung trang web của bạn. như vậy đó, nội dung công khai trên trang web của bạn thường có thể truy cập công khai thông qua API REST.
API là các phương thức, giao thức kết nối với các thư viện và ứng dụng khác. Nó là viết tắt của Application Programming Interface – giao diện lập trình ứng dụng. API cung cấp khả năng cung cấp khả năng truy xuất đến một tập các hàm hay dùng. Và từ đó có thể trao đổi dữ liệu giữa các ứng dụng.
Khái niệm chắc gắn gọn như vậy thôi chứ sâu hơn thì chắc chỉ dành cho lập trình viên thôi, hiểu cơ bản như vậy là quá đủ cho các quản trị viên cơ bản không nhu cầu nhiều rồi.
Tại sao bạn nên vô hiệu hóa API REST JSON trong WordPress
Tối ưu API REST sẽ cải thiện được cho bạn một chút về tốc độ load những thực sự thì không nhiều những lợi ích chủ yếu khi tối ưu REST api vì lý do bảo mật WordPress.
Mặc dù API REST của WordPress khá tuyệt vời, nhưng có một vấn đề lớn nổi bật. Theo mặc định, nó để lại tên người dùng tác giả của bất kỳ ai đã xuất bản nội dung trên trang web của bạn để mọi người xem.
Cho phép loại thông tin này được hiển thị một cách dễ dàng có thể không phải là điều quan tâm về bảo mật WordPress bạn muốn. Tại sao? Vấn đề chính xoay quanh việc hacker bắt đầu đoán mật khẩu đối với tất cả tên người dùng trên trang web WordPress của bạn.
Đây được gọi là một cuộc tấn DDoS.
Thông thường, nhân sự của bạn hay chính bạn vô tình sử dụng mật khẩu không an an toàn. kiểu đại loại pass là “admin1111” gì đó ngắn gì đó có REST api thì họ đã biết được tên đăng nhập như thế nào còn password họ dùng tool hay công nghệ gì đó để rò mật khẩu của bạn mật khẩu càng ngắn thì tỷ lệ mật hack càng cao.
Kiểu khi hacker biết password nhưng không biết tên đăng nhập thì cũng bó tay. nhưng có REST api hacker truy cập biết password của bạn rồi còn tên đăng nhập thì họ có thể thấy một cách dễ dàng.
Bạn có thể vô hiệu hóa API WP-JSON REST bằng một số mã code và thêm nó vào tệp functions.php của trang web WordPress của bạn.
add_filter('json_enabled', '__return_false');
add_filter('json_jsonp_enabled', '__return_false');
Tuy nhiên, nếu bạn là người dùng không cần sử dụng bất cứ thứ gì liên quan đến REST API thì ổn rồi tuy nhiên nếu bạn vẫn muốn sử dụng một số phần mềm tính năng nào đó thì bạn cần phải sẽ xem xét một cách khác tuyệt vời hơn nhiều để tối ưu hóa API JSON REST bằng cách sử dụng plugin : Disable REST API .
Tối ưu hóa Rest API với Plugin Disable REST API
Các API Disable REST của plugin là toàn diện cho việc kiểm soát các điểm truy cập vào API WordPress REST.
Nói thật cá nhân mình vẫn đang sử dụng plugin này để kiểm soát kiểm tra các điểm truy vào API WordPress REST, rồi biết thông tin rồi xóa plugin thôi, vì tôi đã có viết plugin tùy chỉnh cấu trúc lỗi core độc quyền của bên mình rồi.
Plugin Disable REST API này rất dễ dàng sử dụng và rất nhẹ, hiện tại khi bài viết này cập nhât có hơn đang có 60.000 lượt đang kích hoạt và tác giả vẫn cập nhật đều từng phiên bản của WordPress.
Với nguyên lý hoạt động của plugin này kiểu dạng phân quyền chính xác bạn muốn chỉ cho thằng plugin này được sử dụng còn không thì không được vào, như vậy là cực kì tối ưu tốc độ và bảo mật những plugin nào bạn cảm thấy cần REST api thì mới có quyền sử dụng api WordPress của bạn/
Plugin này liệt kê những danh sách plugin đang sử dụng REST API của bạn, bạn chỉ cần tích tích những thứ mà bạn muốn cho quyền truy cập là ok việc còn lại là cứ để plugin họ lo.
bạn có thể xem cách cài đặt và kích hoạt plugin.
Cài đặt xong bạn kích hoạt plugin lên.
Trước khi bạn có thể vô hiệu hóa thành công API JSON REST, trước tiên bạn cần cài đặt và kích hoạt plugin. Bạn có thể thực hiện việc này từ bảng điều khiển quản trị WordPress trên trang web của mình.
Cài đặt và kích hoạt plugin json rest api
Khi plugin đã được cài đặt và kích hoạt, hãy nhấp vào Cài đặt> Tắt API REST để chuyển đến trang cài đặt chính cho plugin.
Bạn sẽ thấy điều này nằm trong khu vực menu bên trái của trang tổng quan quản trị của bạn.
tích chọn theo nhu cầu nâng cao cá nhân của bạn rồi xong kéo xuống cuối cùng lưu lại save như vậy là xong. Nhu cầu cá nhân của mỗi người và chiến lược kinh doanh phát triển website là khác nhau lên mình cũng không biết là nên tư vấn tắt cái gì bật cái nào được các đó chỉ có bạn mới là người hiểu rõ nhất mà thôi.
Plugin này gợi ý để xuất những điểm plugin những cái gì rất chi tiết đang truy cập API REST WordPress của bạn, bạn có thể phân quyền sử dụng cho nó. theo mặc định, plugin sẽ tự động hoạt động theo cách tắt toàn bộ API REST khỏi những worpdress của bạn việc của bạn là tích nó lên để phân quyền mới có thể sử dụng.
Cách kiểm tra API REST đã tắt hay chưa
thì rất là đơn giản bạn chỉ cần truy cập vào: https://domain.com/wp-json với trình duyệt ẩn danh (không có tài khoản đăng nhập) nó hiện là ý dòng chỉ một dòng ngắn gọn là tắt rồi hoặc bạn xem view source website của bạn xem file html đã mất cái dòng wp-json ở trong thẻ <head></head> chưa.
Còn với tối ưu nâng cao thì cái này thì bạn phải kiệm nghiệm tính năng của bạn có bị hỏng gì không thì mới biết chính xác được và thông thường plugin đó đang sử dụng REST API phát họ báo lại yêu cầu mở lại REST API lại thì plugin đó hay tính năng đó mới hoạt động được.
Khi bạn hoàn tất quá trình tối ưu REST api xong nếu bạn đang sử dụng cache thì hãy clear xóa cache đi và tận hưởng thành quả.
Lời kết
Thông thường, có thể khó tìm được sự cân bằng thích hợp giữa tính năng bạn muốn và bảo mật mà bạn cần. Mỗi trang web đều khác nhau và chúng đáp ứng các nhu cầu khác nhau và cách thiết lập khác nhau. Bạn nên đánh giá nhu cầu cụ thể của trang web của mình. Điều này sẽ giúp bạn đưa ra quyết định xem bạn có muốn tắt API JSON REST trên trang web của mình hay không.
Việc kiểm tra bảo mật rà soát bảo mật website của bạn là một điều rất tốt. Có rất nhiều cách bạn có thể làm về vấn đề này, nhưng nhìn chung, bảo mật trang web WordPress luôn quan trọng. Đảm bảo rằng bạn đã làm mọi thứ cần thiết để đảm bảo rằng trang web của bạn được an toàn và bảo vệ theo mọi cách. Hướng dẫn bảo mật WordPress cơ bản bài viết này là tổng hợp những cách bảo mật cơ bản cho WordPress thì tối ưu REST api cũng là một cách trong những cách mình có liệt kê trong bài viết đó.
Nếu bạn không chắc chắn nên làm như thế nào, thì hãy trực tiếp liên hệ với mình.
Chúc bạn thành công!!
Để lại một bình luận