Trong Wordpres thì REST API là lợi ích quản lý WordPress bằng API. Nhưng đồng nghĩa với lợi ích, thì nó cũng mang lại rủi ro về bảo mật như có thể dễ dàng crawler dữ liệu, hoặc các hacker có thể thực hiện các cuộc tấn công Brute Force để lấy mật khẩu của bạn.

Vì vậy, nếu không sử dụng REST API, bạn nên vô hiệu hóa nó đi.

Rất đơn giản là sử dụng đoạn code dưới đây đặt vào file functions.php của theme mà bạn đang sử dụng:

add_filter( 'rest_authentication_errors', function( $result ) {
    if ( ! empty( $result ) ) {
        return $result;
    }
    if ( ! is_user_logged_in() ) {
        return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) );
    }
    return $result;
});

Đoạn code trên sẽ yêu cầu tất cả các request tới REST API Endpoint phải bắt buộc xác thực đăng nhập mới có thể lấy dữ liệu về.

Hoặc các bạn có thể phân định 1 số user có quyền request tới REST API:

add_filter( 'rest_authentication_errors', function( $result ) {
    if ( ! empty( $result ) ) {
        return $result;
    }
    if ( ! is_user_logged_in() ) {
        return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) );
    } else if ( ! current_user_can('administrator') {
		return new WP_Error( 'rest_not_user', 'You do not have permission to use it.', array( 'status' => 401 ) );
	}
    return $result;
});

Đoạn code trên sẽ yêu cầu tất cả các request tới REST API Endpoint phải bắt buộc xác thực đăng nhập và user với quyền administrator mới có thể lấy dữ liệu về.

Vì WordPress khuyến nghị chúng ta không nên vô hiệu hoàn toàn REST API, nó sẽ làm ảnh hưởng tới các chức năng của WP-Admin.

Recent posts

Microsoft cảnh bảo một chiến dịch tấn công mạng nguy hiểm quy mô toàn cầu

Microsoft cảnh bảo một chiến dịch tấn công mạng nguy hiểm quy mô toàn cầu

Microsoft đã gióng lên hồi chuông cảnh báo về Lumma Stealer, một loại mã độc chuyên đánh cắp thông tin, […]

Google Chrome hiện có thể thay đổi mật khẩu yếu cho người dùng

Google Chrome hiện có thể thay đổi mật khẩu yếu cho người dùng

Một tính năng đột phá vừa được Google chính thức ra mắt trên trình quản lý mật khẩu tích hợp […]

Google cho dịch giọng nói trực tiếp trong cuộc gọi

Google cho dịch giọng nói trực tiếp trong cuộc gọi

Google bắt dầu triển khai tính năng dịch giọng nói trực tiếp trong cuộc gọi, khẳng định có thể khớp […]

iPhone sẽ bị ‘vứt xó’ trong những năm tới, nhường bước cho các công nghệ mới

iPhone sẽ bị ‘vứt xó’ trong những năm tới, nhường bước cho các công nghệ mới

Những chiếc iPhone đã sống đủ lâu với ngôi vị quán quân di động, đã đến lúc sẽ có công […]

[WordPress] Hướng dẫn tạo Custom Action Hook trong WordPress

[WordPress] Hướng dẫn tạo Custom Action Hook trong WordPress

Tạo custom Action Hook trong WordPress là một kỹ năng rất hữu ích để tùy chỉnh và mở rộng chức […]

© 2021 Tạp Chí CNTT. Mr Hoang