001-WordPress网站如何启用了REST API以及启用REST API后如何防止网站被攻击？

启用WordPress REST API是一个非常简单的过程，因为自WordPress 4.7版本以来，REST API已经默认启用。然而，为了确保安全性，需要进行一些配置和采取防范措施。下面是具体的步骤和注意事项：

1. 启用WordPress REST API

默认启用

如果您运行的是WordPress 4.7或更高版本，那么REST API已经默认启用。您可以通过访问以下URL来验证API是否可用：

https://your-wordpress-site.com/wp-json/

这个URL应该返回一个包含站点信息的JSON对象。如果您可以看到这样的输出，那么说明REST API已经启用并运行。

手动启用（如果被禁用）

在一些情况下，REST API可能会被某些插件或主题禁用。如果需要手动启用REST API，可以通过以下步骤：

1. 检查插件设置：有些安全插件可能会禁用REST API。检查并确保它们没有阻止REST API。

2. 检查主题设置：有些主题可能会禁用REST API。检查并确保主题的functions.php文件中没有禁用REST API的代码。如果有，可以删除或注释掉这些代码。例如：

   remove_action('rest_api_init', 'wp_oembed_register_route');
   add_filter('rest_endpoints', function ($endpoints) {
       if (isset($endpoints['/oembed/1.0/embed'])) {
           unset($endpoints['/oembed/1.0/embed']);
       }
       if (isset($endpoints['/oembed/1.0/proxy'])) {
           unset($endpoints['/oembed/1.0/proxy']);
       }
       return $endpoints;
   });
   

3. 启用REST API：在您的主题的functions.php文件中添加以下代码来确保REST API被启用：

   add_action('rest_api_init', function() {
       // Ensure REST API is enabled
   });
   

2. 启动REST API需要注意事项，防止网站被攻击

启用REST API可能会使您的网站暴露在潜在的安全威胁中。以下是一些最佳实践来保护您的网站：

使用身份验证

1. 使用强身份验证：确保API请求需要适当的身份验证。例如，可以使用Application Passwords插件或其他OAuth插件来保护API端点。

2. 限制未认证的访问：您可以限制未认证的用户访问某些API端点。以下是一个示例代码，将其添加到您的主题的functions.php文件中：

   add_filter('rest_authentication_errors', function ($result) {
       if (!empty($result)) {
           return $result;
       }
       if (!is_user_logged_in()) {
           return new WP_Error('rest_not_logged_in', 'You are not currently logged in.', array('status' => 401));
       }
       return $result;
   });
   

限制请求频率

1. 请求速率限制：通过限制每个IP地址可以在一定时间内发出的请求数量来防止暴力攻击。这可以通过服务器配置或插件来实现。例如，使用Nginx的rate limiting功能：

   http {
       ...
       limitreqzone $binaryremoteaddr zone=mylimit:10m rate=1r/s;
       ...
       server {
           ...
           location /wp-json/ {
               limit_req zone=mylimit burst=5;
           }
           ...
       }
   }
   

使用HTTPS

1. 强制使用HTTPS：确保您的WordPress站点使用HTTPS来加密数据传输。这可以通过配置SSL证书来实现，并在WordPress设置中将站点地址更改为HTTPS。

隐藏不必要的端点

1. 隐藏不必要的端点：您可以隐藏或禁用不必要的REST API端点，以减少攻击面。例如，通过添加以下代码来禁用用户端点：

   addfilter('restendpoints', function ($endpoints) {
       if (isset($endpoints['/wp/v2/users'])) {
           unset($endpoints['/wp/v2/users']);
       }
       return $endpoints;
   });
   

3. 总结

启用WordPress REST API非常简单，但为了确保安全性，需要采取一些额外的措施。通过使用强身份验证、限制请求频率、强制HTTPS以及隐藏不必要的端点，您可以有效地防止潜在的攻击。

通过这些步骤和注意事项，您可以安全地使用WordPress REST API来增强您的网站功能，同时保护您的站点免受潜在的安全威胁。