Was ist REST-API?
Die Rest-API, auch bekannt als RESTful API, ist ein Stil zum Schreiben von Anwendungsprogrammierschnittstellen, der durch die festgelegten Regeln, aber den REST-Architekturstil eingeschränkt ist und die Kommunikation zwischen REST-Endpunkten ermöglicht. Die Kommunikation zwischen APIs muss durch eine Sicherheitsmethode geschützt werden, sodass der Zugriff sicher und geschützt ist. In diesem Artikel werden die REST-API und verwandte Terminologien und Methoden zur Sicherung der WordPress-REST-API vorgestellt. Wir werden auch durchgehen
miniOrange WordPress REST API-Authentifizierungs-Plugin und seine Funktionen zum Schutz und zur Sicherung der WordPress-REST-API.
Was ist REST?
REST oder Representational State Transfer ist im Grunde die Sammlung von
JSON Endpunkte (URLs), die Informationen zu Ihren Beiträgen, Seiten usw. enthalten. Sie können einfach eine GET-Anfrage an Ihren WordPress-Endpunkt stellen und den Inhalt Ihrer WordPress-Website im JSON-Format von außerhalb der WordPress-Installation lesen. Dadurch wird die WordPress-REST-API für CRUD-Vorgänge verfügbar, sodass Sie Inhalte auf Ihrer Website bequem von außerhalb der WordPress-Installation erstellen, lesen, aktualisieren und löschen können. Wir werden im späteren Teil des Artikels über den Schutz der Endpunkte sprechen.
Was ist API?
API oder Application Programming Interface ermöglicht die Kommunikation zweier Anwendungen miteinander. Jedes Mal, wenn ein Benutzer eine Anfrage an den Server sendet. Der Server antwortet auf diese Anfrage mit einer vom Server abgerufenen Ressource namens Antwort. Die API wird auf dem Server erstellt und der Benutzer darf mit ihr kommunizieren. Dadurch wird eine Schnittstelle für die Computersysteme im Web bereitgestellt, die es Client und Server erleichtert, miteinander zu interagieren und Daten auf begrenzte, klar definierte Weise auszutauschen. Mit der API kann der Benutzer Daten senden oder empfangen, indem er einen bestimmten „Aufruf“ oder eine „Anfrage“ durchführt. JSON ist eine Programmiersprache, die für diese Kommunikation verwendet wird. Mit der API können vier verschiedene Arten von Anfragen gestellt werden:
1. GET (Abrufen): Mit dieser Funktion können Sie Daten vom Server über den API-Aufruf abrufen.
2. POST (Erstellen): Mit dieser Funktion können Sie neue Informationen auf den Server schreiben.
3. PUT (Update): Mit dieser Funktion können Sie die bereits verfügbaren Inhalte auf dem Server aktualisieren.
4. DELETE (Entfernen): Mit dieser Funktion können Sie Daten vom Server löschen.
Alltägliche API-Beispiele:
1. Wettervorhersage: Wetter-APIs sind Anwendungsprogrammierschnittstellen, die es Ihnen ermöglichen, Wetterinformationen aus den großen Datenbanken mit Wettervorhersagen abzurufen. Dies geschieht über eine API, die die Antwort an Sie zurückliefert.
2. Google-Karte: Die Google Maps API ist hilfreich bei der Bereitstellung von Daten wie geografischen Standorten, Breiten- und Längengraden usw. aus der Google-Kartendatenbank.
3. Melden Sie sich mit XYZ an: Möglicherweise haben Sie auf verschiedenen Websites die Möglichkeit gesehen, sich mit Google, Facebook usw. anzumelden. Anstatt die Benutzeranmeldeinformationen zu verwenden, führt die Anwendung einen API-Aufruf an Google, Facebook usw. durch und bittet um eine Benutzerauthentifizierung, um den Benutzer auf die Website zuzulassen.
Was ist die WordPress-REST-API?
Die WordPress REST API (Representational State Transfer Application Programming Interface) bietet eine Schnittstelle für Anwendungen (wie Android, IOS, React, Angular) zur Interaktion mit Ihrer WordPress-Website durch Senden und Empfangen von Daten als JSON-Objekte (JavaScript Object Notation). Hier verwenden wir JavaScript, um die WordPress-REST-API aufzurufen, um Inhalte aus der WordPress-Datenbank in unsere Webseite zu laden.
Beispiel: Der unten stehende REST-Endpunkt wird zum Abrufen aller WordPress-Beiträge und -Seiten verwendet.
- GET /posts – https://www.example.com/wp-json/wp/v2/posts
- GET /pages – https://www.example.com/wp-json/wp/v2/pages
Schlüsselbegriffe der WordPress-REST-API
Bevor wir uns eingehender mit der WordPress-REST-API und ihrer Bedeutung für Entwickler befassen, nehmen wir uns einen kurzen Moment Zeit, um uns mit den grundlegenden Terminologien im Zusammenhang mit der WP-REST-API vertraut zu machen:
1. Route: Es handelt sich um eine URL, die verschiedenen HTTP-Methoden zugeordnet werden kann. Beispiel: /wp-json/
2. Endpunkt: Es handelt sich um eine Verbindung zwischen einer einzelnen HTTP-Methode und einer Route.
3. Anfrage: Es handelt sich um eine Instanz von WP_REST_Request, mit der Informationen für aktuelle Anfragen abgerufen werden können.
4. Antwort: Es stellt die angeforderten Daten bereit oder zeigt einen Fehler an, um anzuzeigen, was während der Ausführung/des Aufrufs schief gelaufen ist.
5. Schema: Es zeigt Ihnen, welche Eingabeparameter und Eigenschaften über die REST-API gesendet und empfangen werden können.
6. Controller-Klassen: Hier bearbeiten/verwalten Sie REST-API-Anfragen.
Wie ist die WordPress REST API nützlich?
- Die WordPress-REST-API macht CRUD-Vorgänge (Erstellen, Lesen, Aktualisieren und Löschen) von überall aus verfügbar, anstatt nur auf das Admin-Dashboard von WordPress beschränkt zu sein. Es bietet eine einfache Form der Kommunikation zwischen dem Client und dem Server und ist somit eine hervorragende Lösung für den Datenaustausch.
- Es kann zum Erstellen nativer Apps für iOS/Android usw. verwendet werden. Wir können jede gewünschte Sprache verwenden, solange die Sprache HTTP-Anfragen stellen und JSON interpretieren kann, z. B. Node, js, Express.js, Ruby, Python usw.
- Damit können Sie eine mobile Anwendung für sich haben WooCommerce ecom-Website. Sie können Ihre Benutzer, Ihr Inventar und alle anderen Daten zwischen Ihrer WordPress-Site und Ihrer mobilen Anwendung synchronisieren. Ihre Kunden können über Ihre mobile Anwendung schneller bezahlen und so Ihren Umsatz und Gewinn steigern.
- Mit der WordPress-REST-API können Sie die Funktionalität einer E-Commerce-Website (WooCommerce) über die von Woocommerce bereitgestellte Grundfunktionalität hinaus erweitern. Es hilft Ihnen, eine Verbindung zu externen APIs (mehr Funktionen) herzustellen, um mehr Funktionen in Ihrem WooCommerce-Shop sicher bereitzustellen.
Wir wissen, dass die WordPress-REST-API viele Möglichkeiten eröffnet, aber wir müssen darauf achten, unsere Endpunkte zu schützen und zu sichern. Unser Plugin für WordPress verfügt über viele Sicherheitsfunktionen zum Schutz der WordPress-Sites (WooCommerce, Learndash, Zoho usw.).
Wie funktionieren WordPress-REST-APIs?
Es ist eine riesige Menge an Daten verfügbar WordPress REST-API und es ist für jeden zugänglich, der danach fragt, z. B. für Beiträge, Seiten, Kommentare usw. Die Cookie-Authentifizierung ist die in WordPress enthaltene Standardauthentifizierungsmethode zum Schutz Ihrer Daten. Wenn Sie sich bei Ihrem Dashboard anmelden, werden die Cookies korrekt für Sie eingerichtet, sodass Plugin- und Theme-Entwickler nur einen angemeldeten Benutzer benötigen. Die REST-API enthält jedoch eine Technik namens Nonces, um CSRF-Probleme zu vermeiden. Dadurch wird verhindert, dass andere Websites Sie zu Aktionen zwingen, ohne dass Sie dies ausdrücklich beabsichtigen. Dies erfordert eine etwas spezielle Handhabung der API. Es ist eine sicherere Methode zum Schutz Ihrer WordPress-Site. Die REST-API wird über HTTP-Endpunkte (HyperText Transfer Protocol) unter Verwendung der JSON-Formatierung (JavaScript Object Notation) gesendet. Diese Endpunkte können Beiträge, Seiten und andere WordPress-Datentypen oder andere benutzerdefinierte Endpunkte darstellen. Es manipuliert Daten von Client und Server, ohne tatsächlich Zugriff auf die Datenbank zu haben, und die Datenbank bleibt daher sicher.
WordPress-REST-API-Endpunkte sind standardmäßig geöffnet und stellen daher eine Lücke in Ihrer Website dar. Abgesehen von Datendiebstahl und Phishing, die über diese WordPress-Endpunkte initiiert werden können, besteht eine größere Bedrohung für die Benutzerdaten, die Wordpress jedem zur Verfügung stellt, der danach fragt.
- Beispiel:https://example.com/wp-json/wp/v2/users/
Wenn Sie versuchen, auf diese Endpunkte zuzugreifen, zeigt die WordPress REST API standardmäßig alle Daten Ihrer Benutzer an, was zu einer schwerwiegenden Sicherheitsverletzung führen kann.
Wenn Sie also offene WP-Endpunkte auf Ihren WordPress-Sites wie Woocommerce haben, ist es für Scraper und Content-Stealer leicht, Ihre WordPress-Site zu stehlen, da sie technisch versiert genug sind, um Ihre Fehler und Nachlässigkeit auszunutzen. Dies kann zu einem potenziellen Datenschutzrisiko führen, da diese böswilligen Personen auf Benutzerdaten wie Name und Benutzeradressen zugreifen können.
Das Risiko entsteht auch, wenn die böswilligen Akteure Ihren Benutzernamen haben und nun mit Bruteforce in Ihre Website eindringen können, da die WordPress-REST-API den Zugriff auf Ihre Website ermöglicht hat, von wo sie die Benutzernamen erhalten haben. Aus Sicherheitsgründen können Sie die REST-API auf Ihrer Website (WooCommerce, E-Learning usw.) vollständig deaktivieren. Dies hält Sie jedoch davon ab, diese Funktion zur Förderung Ihres Geschäfts und Ihrer Chancen zu nutzen, da Sie Ihre WordPress-Website mit anderen Endpunkten integrieren können. B. zentrales Inventar, mobile Apps usw. Anstatt die restlichen APIs vollständig zu verbieten, müssen Sie einen Weg finden, sie zu sichern und die Wordpress-REST-API für das zu verwenden, wofür sie gedacht ist.
Welche Vorteile die WordPress REST API hat
Die Wordpress-REST-API eröffnet Entwicklern zahlreiche Möglichkeiten, Funktionen zu erkunden und zu implementieren, die ihnen den hektischen Umgang mit Daten erleichtern. Aufgrund der JSON-Formatierung der Daten kann WordPress mithilfe der WordPress-REST-API Daten mit anderen Websites und Software austauschen, unabhängig von der Sprache, in der die App/Software/Website geschrieben ist. Sie müssen sich nur um den Schutz der Endpunkte kümmern, indem Sie sichere Methoden einführen, wie wir sie in unserem Plugin WordPress REST API Authentication bereitstellen. Dies wird dazu beitragen, Ihr WordPress zu schützen und Ihrer Website mehr Funktionalitäten zu verleihen, die Sie für das Wachstum nutzen können.
Anwendungsfall für WordPress REST API
Für WordPress-REST-APIs stehen verschiedene Anwendungsfälle zur Verfügung. Einige der wichtigsten Anwendungsfälle sind unten aufgeführt:
- Angenommen, Sie möchten eine Android- und IOS-Anwendung für Blogging-Zwecke entwickeln, bei der Benutzer die Blogs sehen und Blogs über ihre mobile Anwendung selbst veröffentlichen können. In diesem Fall möchten Sie nun auch die Beiträge aus der mobilen Anwendung erstellen, abrufen, aktualisieren und löschen, was mit Hilfe von WordPress sicher und einfach möglich ist.
- Angenommen, Sie haben eine E-Commerce-Site, die mit Hilfe des WooCommerce-Plugins und WordPress entwickelt wurde, und möchten native Anwendungen mithilfe des React-Frameworks entwickeln. Jetzt möchten Sie keine weitere Datenbank für die native Anwendung erstellen und alle Produkt-, Kunden- und Bestelldetails hochladen, da diese im Gegensatz zu WordPress nicht effizient und gut gepflegt ist. Sie können einfach und sicher auf die WooCommerce-REST-APIs in Ihrer nativen Anwendung zugreifen, selbst mit der Funktionalität der Anmeldung des Benutzers mit WordPress-Anmeldeinformationen und sogar mit der Social-Login-Funktion. Sie können sich problemlos authentifizieren und auf die WooCommerce-REST-APIs zugreifen, wenn Sie sich über die Social-Login-Plattform bei Ihrer Anwendung angemeldet haben.
miniOrange WORDPRESS REST API AUTHENTIFIZIERUNGS-PLUGIN zum Schutz Ihrer REST-Endpunkte.
Ich würde Ihnen empfehlen, das WP-REST-API-Authentifizierungs-Plugin für WordPress herunterzuladen, das den Zugriff auf die WordPress-REST-APIs mit branchenüblicher Sicherheit und Datenschutz entsprechend Ihrem Anwendungsfall oder Ihren Anforderungen erheblich erleichtert.
Es unterstützt viele Authentifizierungsmethoden wie API-Schlüsselauthentifizierung, Basisauthentifizierung, JWT-Authentifizierung, OAuth 2.0-Authentifizierung und Drittanbieter-OAuth 2.0-Anbieterauthentifizierungsmethode usw., um Ihre WordPress-Site zu schützen und zu sichern. Diese sind auch mit allen folgenden HTTP-Methoden kompatibel:
1. GET (Abrufen): Mit dieser Funktion können Sie über den API-Aufruf Daten vom Server abrufen.
2. POST (Erstellen): Mit dieser Funktion können Sie neue Informationen auf den Server schreiben.
3. PUT (Aktualisierung): Mit dieser Funktion können Sie die bereits verfügbaren Inhalte auf dem Server aktualisieren.
4. DELETE (Entfernen): Mit dieser Funktion können Sie Daten vom Server löschen.
Installieren des WordPress REST API-Authentifizierungs-Plugins
Es gibt mehrere Möglichkeiten, unser WordPress-REST-API-Plugin für die Sicherheit Ihrer WordPress-Site zu installieren und einzurichten.
1. Sie können das Zip-Paket des Plugins vom miniOrange-Marktplatz oder direkt vom WordPress-Marktplatz herunterladen. Nachdem Sie die ZIP-Datei heruntergeladen haben, müssen Sie den Inhalt des heruntergeladenen Ordners in das Verzeichnis „/wp-content/plugins/“ auf Ihrem System extrahieren und dann einfach das Plugin auf der WordPress-Plugin-Seite Ihrer WordPress-Site aktivieren.
2. Eine weitere Möglichkeit, unser Plugin zu installieren und davon zu profitieren, besteht darin, es über die Option „Neu hinzufügen“ auf Ihrer Plugins-Seite herunterzuladen.
Mit einem der beiden einfachen Schritte können Sie Ihre WordPress-Sites wie WooCommerce, Learndash usw. schützen und sichern. Für eine ausführliche Erklärung und eine Schritt-für-Schritt-Anleitung zur Einrichtung des Plugins wenden Sie sich bitte an uns Besuchen Sie hier.
Rest-API-Endpunkte von Standard- und benutzerdefinierten Plugins/Drittanbieter-Plugins:
WordPress bietet einige Standard-REST-Endpunkte, um die Daten von und in die WordPress-Website zu übertragen. Einige dieser Endpunkte sind wie folgt:
1. BLOG-POSTS
2. Seiten
3. Medien
4. Post-Meta
5. Ihre Nachricht
6. Nutzer
7. Nutzungsbedingungen
Es stellt sich jedoch die Frage: Wie können Sie dies erreichen, wenn Sie standardmäßige REST-API-Endpunkte erstellen müssen? Was ist, wenn Sie Ihre benutzerdefinierten Daten mithilfe von REST-APIs mit Sicherheit aus der Datenbank abrufen möchten?
In diesem Fall müssen Sie benutzerdefinierte WordPress-REST-APIs erstellen, um die Funktionalität zu verwalten, oder Sie können unser anderes Plugin namens CUSTOM API for WP verwenden, um benutzerdefinierte WordPress-REST-APIs zu erstellen. Sie können eine Verbindung zu APIs von Learndash, Gravity Forms, WooCommerce, Google Merchant usw. herstellen. Sie können einfach den API-Namen und die HTTP-Methode eingeben, die Sie verwenden möchten. Anschließend müssen Sie die Datenbanktabelle auswählen, aus der Sie die Daten abrufen möchten. Sie können auch die Spalten auswählen und die Bedingung festlegen, um sie zu erhalten, ohne auch nur eine einzige Zeile zu codieren.
Anpassung für jede Art von API-Integration/Authentifizierung in Wordpress:
Wenn Sie denken, dass Sie einige Anpassungen in unserem WordPress-REST-API oder unserem benutzerdefinierten API-Plugin benötigen, dann möchte ich Ihnen eine gute Nachricht geben: Wir bieten Kunden Anpassungen entsprechend ihrem Anwendungsfall an, sodass sie keine Kompromisse eingehen müssen alles und genießen Sie unsere Dienste und Support mit unseren REST-API-Plugins.
WordPress-REST-API-Authentifizierungsmethoden in unserem WordPress-Plugin
Dies sind die Authentifizierungsmethoden, die in unserem WordPress-REST-API-Plugin bereitgestellt werden. Um mehr zu lesen und sich mit den Postman-Beispielen vertraut zu machen, klicken Sie auf die unten aufgeführten Links:
- Basisauthentifizierung: Es handelt sich um die grundlegende Authentifizierungsmethode zum Schutz und zur Sicherung von WordPress-Endpunkten, bei der Benutzer mit den folgenden zwei Methoden authentifiziert werden können:
1. Benutzername:Passwort: – Bei dieser Art der Basisauthentifizierung sind Benutzeranmeldeinformationen wie Benutzername und Passwort erforderlich, um den Benutzer für das System zuzulassen.
2. Client-ID:Client-Secret: – Bei dieser Art der Basisauthentifizierung werden Client-Anmeldeinformationen vom Plugin im Autorisierungsheader in Form einer Base64-codierten oder hochsicheren HMAC-Verschlüsselung bereitgestellt.
- API-Schlüsselauthentifizierung: Mit dieser Sicherheitsmethode können Sie WordPress-Endpunkte sichern, ohne Benutzeranmeldeinformationen preiszugeben, da das Plugin einen API-Schlüssel für den Zugriff auf jede Ressource generiert, der auch im Plugin neu generiert oder auf Wunsch des Administrators abgelaufen werden kann.
- JWT-Authentifizierung: Diese Methode verwendet das vom Plugin ausgegebene JWT-Token und fungiert als API-Authentifikator zum Schutz Ihrer REST-APIs. Das Plugin selbst stellt den REST-API-Endpunkt bereit, über den Sie das JWT-Token sehr einfach generieren können, indem Sie die gültigen WordPress-Benutzeranmeldeinformationen übergeben.
- OAuth 2.0-Authentifizierung: Dies ist die sicherste Methode zur Authentifizierung und zum Schutz der REST-APIs. Falls Sie keinen externen Identitätsanbieter haben, fungiert die WordPress-REST-API-Authentifizierung sowohl als OAuth-Server (Anbieter) als auch als API-Authentifikator, um Ihre REST-APIs zu schützen.
1. Passwortgewährung: – Diese Methode wird verwendet, wenn benutzerspezifische Daten benötigt werden.
2. Client Credentials Grant: – Diese Methode wird verwendet, um API-Aufrufe zu authentifizieren, ohne einen bestimmten Benutzer zu haben.
-
Authentifizierung von Drittanbietern: Diese Methode wird verwendet, wenn Sie bereits über einen externen OAuth/OpenID Connect (Identitätsanbieter) verfügen, der Ihnen ein Zugriffstoken/ID-Token oder ein JWT-Token zur Verfügung stellt, das zur Authentifizierung der WordPress-REST-APIs verwendet werden kann und das Plugin das Token validiert direkt von diesen Token-Anbietern und nur bei erfolgreicher Validierung dürfen API-Endpunkte darauf zugreifen.
Welche Sicherheitsmethode soll wo verwendet werden?
-
Basis-Authentifizierung: Wenn Sie Ihre WP-REST-APIs (z. B. Beiträge, Seiten und andere REST-APIs) mit den WordPress-Anmeldeinformationen des Benutzers oder dem Client-ID:Client-Geheimnis, das vom Plugin selbst bereitgestellt wird, schützen möchten, können Sie sich für diese Methode entscheiden. Es wird empfohlen, diese Methode auf HTTPS oder Secure Socket Layer zu verwenden.
-
API-Schlüsselauthentifizierung: Wenn Sie Ihre WP-REST-APIs (z. B. Beiträge, Seiten und andere REST-APIs) vor nicht authentifizierten Benutzern schützen möchten, die Anmeldeinformationen oder die Client-ID der Benutzer jedoch nicht weitergeben möchten, um die REST-API zu authentifizieren, können Sie API verwenden Schlüsselauthentifizierung, die einen zufälligen Authentifizierungsschlüssel für Sie generiert. Mit diesem Schlüssel können Sie jede REST-API auf Ihrer Site authentifizieren. Diese Methode bietet auch eine Funktion zum Generieren eines benutzerspezifischen API-Schlüssels für den Zugriff und die Authentifizierung der APIs, die Benutzerberechtigungen erfordern. Der generierte Schlüssel liegt in einem verschlüsselten Format vor und somit kommt es zu keiner Sicherheitsverletzung und zu keinem möglichen Datenleck.
-
JWT-Authentifizierung: Wenn Sie Ihre REST-APIs mithilfe des JWT-Tokens schützen möchten und keinen Drittanbieter/Identitätsanbieter haben, der das JWT-Token ausstellt, sollten Sie sich für die JWT-Authentifizierungsmethode entscheiden. In diesem Fall stellt unsere WordPress-REST-API-Authentifizierung selbst das JWT-Token aus und fungiert als API-Authentifikator, um Ihre REST-APIs zu schützen.
-
OAuth 2.0-Authentifizierung (am sichersten und am meisten empfohlen): Wenn Sie Ihre REST-APIs mithilfe des Zugriffstokens oder ID-Tokens (JWT-Token) schützen möchten und gleichzeitig keinen Drittanbieter/Identitätsanbieter haben, dann sollten Sie dies tun Entscheiden Sie sich für die Authentifizierungsmethode OAuth 2.0. In diesem Szenario fungiert unsere WordPress-REST-API-Authentifizierung sowohl als OAuth-Server als auch als API-Authentifikator, um Ihre REST-APIs zu schützen.
-
Authentifizierung von Drittanbietern: Wenn Sie den Zugriff auf Ihre WP-REST-APIs mithilfe eines externen OAuth-Anbieters/Identitätsanbieters wie Azure, Amazon Cognito, KeyCloak, Okta, ADFS, Google, Facebook usw. und Firebase schützen/einschränken möchten, sollten Sie sich für den Drittanbieter entscheiden Authentifizierungsmethode. Hier müssen Sie lediglich das Plugin mit dem von Ihrem Identitätsanbieter bereitgestellten Introspection Endpoint/User Info Endpoint konfigurieren und können die API-Anfrage mithilfe des von Ihrer Anbieteranwendung bereitgestellten Tokens authentifizieren.
Verwandte Lesungen
Empfohlene Plugins
Fordern Sie eine Demo des Plugins an
