API REST de WordPress | ¿Qué es y cómo proteger las API REST de WP?

¿Qué es la API REST?

Rest API, también conocida como RESTful API, es un estilo para escribir interfaces de programación de aplicaciones restringidas por las reglas establecidas pero con un estilo arquitectónico REST y permite la comunicación entre puntos finales REST. La comunicación entre API debe estar protegida por un método de seguridad tal que el acceso sea seguro y protegido. Este artículo presentará la API REST y la terminología y métodos relacionados para proteger la API REST de WordPress. También pasaremos por Complemento de autenticación API REST de WordPress miniOrange y sus características para proteger y asegurar la API REST de WordPress.

¿Qué es REST?

REST o Transferencia de Estado Representacional, es básicamente la recopilación de JSON puntos finales (URL) que contienen información sobre sus publicaciones, páginas, etc. Simplemente puede realizar una solicitud GET a su punto final de WordPress y leer el contenido de su sitio web de WordPress en formato JSON desde fuera de la instalación de WordPress. Esto hace que la API REST de WordPress esté disponible para operaciones CRUD, lo que le permite crear, leer, actualizar y eliminar contenido de su sitio cómodamente desde fuera de la instalación de WordPress. Hablaremos sobre la protección de los puntos finales en una parte posterior del artículo.

¿Qué es la API?

API o Interfaz de programación de aplicaciones permite que dos aplicaciones se comuniquen entre sí. Cada vez que un usuario envía una solicitud al servidor. El servidor responde a esa solicitud con un recurso obtenido del servidor llamado respuesta. La API se crea en el servidor y el usuario puede hablar con ella. Esto proporciona una interfaz para los sistemas informáticos en la web, lo que facilita que el cliente y el servidor interactúen entre sí y compartan datos de formas limitadas y claramente definidas. La API permite al usuario enviar o recibir datos realizando una "llamada" o "solicitud" particular. JSON es un lenguaje de programación que se utiliza para esta comunicación. La API se puede utilizar para realizar cuatro tipos diferentes de solicitudes:
1. OBTENER (Recuperar): esta función le permite recuperar datos del servidor a través de la llamada a la API.
2. POST (Crear): esta función le permite escribir nueva información en el servidor.
3. PUT (Actualizar): Esta función le permite actualizar el contenido ya disponible en el servidor.
4. BORRAR (Eliminar): Esta función le permite eliminar datos del servidor.

Ejemplos cotidianos de API:

1. Pronóstico del tiempo: Las API meteorológicas son interfaces de programación de aplicaciones que le permiten obtener información meteorológica de grandes bases de datos de pronósticos meteorológicos. Esto se hace mediante una API, que le devuelve la respuesta.

2. Mapa de Google: La API de Google Maps es útil para proporcionar datos como ubicaciones geográficas, latitudes, longitudes, etc. de la base de datos de mapas de Google.

3. Inicie sesión usando XYZ: Es posible que haya visto en varios sitios web la opción de iniciar sesión con Google, Facebook, etc. En lugar de utilizar las credenciales del usuario, la aplicación realiza una llamada API a Google, Facebook, etc. solicitando autenticación de usuario para permitirle ingresar al sitio web.

¿Qué es la API REST de WordPress?

La API REST (Interfaz de programación de aplicaciones de transferencia de estado representacional) de WordPress proporciona una interfaz para que las aplicaciones (como Android, IOS, React, Angular) interactúen con su sitio web de WordPress enviando y recibiendo datos como objetos JSON (Notación de objetos JavaScript). Aquí, utilizamos JavaScript para visitar la API REST de WordPress y cargar contenido de la base de datos de WordPress en nuestra página web.

Ejemplo: el siguiente punto final REST se utiliza para recuperar todas las publicaciones y páginas de WordPress.

• OBTENER /publicaciones: https://www.example.com/wp-json/wp/v2/posts
• OBTENER /páginas: https://www.example.com/wp-json/wp/v2/pages

Términos clave de la API REST de WordPress

Antes de profundizar más en la API REST de WordPress y lo que significa para los desarrolladores, tomemos un breve momento para familiarizarnos con la terminología básica relacionada con la API REST de WP:

1. Ruta: Es una URL que se puede asignar a diferentes métodos HTTP. Ejemplo: /wp-json/

2. Punto final: Es una conexión entre un método HTTP individual y una ruta.

3. Solicitud: Es una instancia de WP_REST_Request que se puede utilizar para recuperar información para solicitudes actuales.

4. Respuesta: Proporciona los datos solicitados o muestra un error para mostrar qué salió mal durante la ejecución/llamada.

5. Esquema: Le permite comprender qué parámetros y propiedades de entrada se pueden enviar y recibir a través de la API REST.

6. Clases de controlador: Es donde maneja/administra las solicitudes de API REST.

¿Cómo es útil la API REST de WordPress?

• La API REST de WordPress hace que las operaciones CRUD (Crear, Leer, Actualizar y Eliminar) estén disponibles desde cualquier lugar en lugar de limitarse solo al panel de administración de WordPress. Proporciona una forma ligera de comunicación entre el cliente y el servidor, lo que la convierte en una excelente solución para el intercambio de datos.
• Se puede utilizar para crear aplicaciones nativas de iOS/Android, etc. Podemos usar cualquier lenguaje que queramos siempre que el lenguaje tenga la capacidad de realizar solicitudes HTTP e interpretar JSON como Node,js, Express.js, Ruby, Python, etc.
• Te permitirá tener una aplicación móvil para tu WooCommerce sitio web de economía. Podrá sincronizar sus usuarios, inventario y todos los demás datos entre su sitio de WordPress y su aplicación móvil. Sus clientes podrán realizar el pago más rápido en su aplicación móvil y, por lo tanto, aumentar sus ventas y ganancias.
• La API REST de WordPress le permitirá ampliar la funcionalidad de un sitio web de comercio electrónico (WooCommerce) más allá de la funcionalidad básica proporcionada por Woocommerce. Le ayudará a conectarse a API externas (más funciones) para brindar más funciones en su tienda WooCommerce de forma segura.

Sabemos que la API REST de WordPress abre la puerta a muchas oportunidades, pero debemos estar atentos para proteger y asegurar nuestros puntos finales. Nuestro complemento para WordPress tiene muchas funciones de seguridad para proteger los sitios de WordPress (WooCommerce, Learndash, Zoho, etc.).

¿Cómo funcionan las API REST de WordPress?

Hay una gran cantidad de datos disponibles a través de API REST de WordPress y es accesible para todos los que lo soliciten, como publicaciones, páginas, comentarios, etc. La autenticación de cookies es el método de autenticación estándar incluido con WordPress para proteger sus datos. Cuando inicia sesión en su panel de control, esto configura las cookies correctamente para usted, por lo que los desarrolladores de complementos y temas solo necesitan tener un usuario registrado. Sin embargo, la API REST incluye una técnica llamada nonces para evitar problemas de CSRF. Esto evita que otros sitios le obliguen a realizar acciones sin tener la intención explícita de hacerlo. Esto requiere un manejo ligeramente especial para la API. Es un método más seguro para proteger su sitio de WordPress. La API REST se envía a través de puntos finales HTTP (Protocolo de transferencia de hipertexto), utilizando el formato JSON (Notación de objetos JavaScript). Estos puntos finales pueden representar publicaciones, páginas y otros tipos de datos de WordPress o cualquier otro punto final creado personalizado. Manipula datos del cliente y del servidor sin tener acceso real a la base de datos y, por lo tanto, la base de datos permanece segura.

Los puntos finales de la API REST de WordPress están abiertos de forma predeterminada y, por lo tanto, resultan ser una laguna en su sitio web. Aparte del robo de datos y el phishing que pueden iniciarse a través de estos puntos finales de WordPress, existe una amenaza mayor para los datos de usuario que Wordpress proporciona a cualquiera que los solicite.

• Ejemplo: https://example.com/wp-json/wp/v2/users/

Si intenta acceder a estos puntos finales, de forma predeterminada la API REST de WordPress mostrará todos los datos relacionados con sus usuarios, lo que puede provocar una violación de seguridad importante.

Por lo tanto, al tener puntos finales de WP abiertos en sus sitios de WordPress como WooCommerce, es fácil para los raspadores y ladrones de contenido robar de su sitio de WordPress, ya que son lo suficientemente conocedores de la tecnología como para aprovechar su error y descuido. Esto puede generar un riesgo potencial para la privacidad, ya que estas personas malas pueden acceder a los datos del usuario, como el nombre y las direcciones de los usuarios.

El riesgo también surge cuando los malos actores tienen su nombre de usuario y ahora pueden ingresar por fuerza bruta a su sitio web, ya que la API REST de WordPress ha permitido el acceso a su sitio web desde donde obtuvieron los nombres de usuario. Para estar seguro, puede desactivar completamente la API REST en su sitio web (WooCommerce, elearning, etc.), pero eso le impedirá utilizar esta función para hacer crecer su negocio y sus oportunidades, ya que puede integrar su sitio web de WordPress con otros puntos finales. como inventario central, aplicaciones móviles, etc. En lugar de prohibir completamente el resto de API, debe encontrar una manera de protegerlas y utilizar la API REST de Wordpress para lo que está destinada.

Cómo se beneficia la API REST de WordPress

La API REST de Wordpress abre una gran puerta de oportunidades para que los desarrolladores exploren e implementen funciones que harán que su agitado manejo de datos sea una tarea fácil. Debido al formato JSON de los datos, WordPress puede intercambiar datos con otros sitios web y software utilizando la API REST de WordPress, independientemente del idioma en el que esté escrito la aplicación/software/sitio web. Solo necesita encargarse de proteger los puntos finales implementando métodos seguros como los que proporcionamos en nuestro complemento Autenticación de API REST de WordPress. Esto ayudará a proteger su WordPress y también le brindará más funcionalidades a su sitio que puede utilizar para crecer.

Caso de uso para la API REST de WordPress

Hay varios casos de uso disponibles para las API REST de WordPress y algunos de los principales casos de uso se enumeran a continuación:

• Suponga que desea desarrollar una aplicación de Android e IOS para blogs, donde los usuarios puedan ver los blogs y publicar blogs utilizando su propia aplicación móvil. Ahora, en ese caso, también desea crear, recuperar, actualizar y eliminar las publicaciones de la aplicación móvil, lo que se puede hacer fácilmente con la ayuda de WordPress de forma segura.


• Suponga que tiene un sitio de comercio electrónico desarrollado con la ayuda del complemento WooCommerce y WordPress y desea desarrollar aplicaciones nativas utilizando el marco React. Ahora bien, no desea crear otra base de datos para la aplicación nativa y cargar todos los productos, detalles de clientes y pedidos, ya que no será eficiente ni estará bien mantenido según el caso de WordPress. Puede acceder fácilmente a las API REST de WooCommerce con seguridad y protección en su aplicación nativa, incluso con la funcionalidad de inicio de sesión del usuario con credenciales de WordPress e incluso con el inicio de sesión social. Puede autenticarse y acceder fácilmente a las API REST de WooCommerce si ha iniciado sesión utilizando la plataforma de inicio de sesión social en su aplicación.

miniOrange COMPLEMENTO DE AUTENTICACIÓN API REST DE WORDPRESS para proteger sus puntos finales REST.

Le sugiero que descargue el complemento de autenticación de API REST de WP para WordPress, lo que hará que sea mucho más fácil acceder a las API REST de WordPress con seguridad y protección de datos estándar de la industria, de acuerdo con su caso de uso o requisitos.

Admite muchos métodos de autenticación, como autenticación de clave API, autenticación básica, autenticación JWT, autenticación OAuth 2.0 y método de autenticación de proveedor OAuth 2.0 de terceros, etc. para proteger y asegurar su sitio de WordPress. Estos también son compatibles con todos los métodos HTTP siguientes:

1. OBTENER (Recuperar): Esta función le permite recuperar datos del servidor a través de la llamada a la API.

2. PUBLICAR (Crear): Esta función le permite escribir nueva información en el servidor.

3. PONER (Actualizar): Esta función le permite actualizar el contenido ya disponible en el servidor.

4. BORRAR (Eliminar): Esta función le permite eliminar datos del servidor.

Instalación del complemento de autenticación API REST de WordPress

Hay varias formas de instalar y configurar nuestro complemento API REST de WordPress para la seguridad de su sitio de WordPress.

1. Puede descargar el paquete zip del complemento desde el mercado miniOrange o directamente desde el mercado de WordPress. Después de descargar el zip, debe extraer el contenido de la carpeta descargada en el directorio `/wp-content/plugins/` de su sistema y luego simplemente activar el complemento desde la página de complementos de WordPress en su sitio de WordPress.

2. Otro método para instalar y beneficiarse de nuestro complemento es descargarlo desde la opción "agregar nuevo" en su página de complementos.

Cualquiera de los dos sencillos pasos le permitirá proteger y asegurar sus sitios de WordPress como WooCommerce, Learndash, etc. Para obtener una explicación detallada y una guía paso a paso para configurar el complemento, por favor visite aquí.

Puntos finales de API Rest estándar y personalizados/de terceros:

WordPress proporciona algunos puntos finales REST estándar para obtener datos desde y hacia el sitio web de WordPress. Algunos de estos puntos finales son los siguientes:

1. Artículos

2. Páginas

3. Medios

4. Post Meta

5. Comentarios

6. Usuarios

7. Términos

Pero surge la pregunta: si necesita crear puntos finales de API REST predeterminados, ¿cómo puede lograrlo? ¿Qué sucede si desea obtener sus datos personalizados de la base de datos utilizando API REST con seguridad?

En ese caso, necesita crear API REST de WordPress personalizadas para manejar la funcionalidad o puede usar otro complemento llamado API PERSONALIZADA para WP para crear API REST de WordPress personalizadas. Podrá conectarse a las API de Learndash, Gravity Forms, WooCommerce, Google Merchant, etc. Simplemente puede ingresar el nombre de la API y el método HTTP que desea utilizar. Después de eso, debe seleccionar la tabla de la base de datos de la que desea recuperar los datos. También puedes seleccionar las columnas y establecer la condición para obtenerlas sin siquiera codificar una sola línea.

Personalización para cualquier tipo de integración/autenticación de API en Wordpress:

Si está pensando que necesitará algunas personalizaciones en nuestra API REST de WordPress o en nuestro complemento de API personalizada, permítame darle la buena noticia de que proporcionamos personalizaciones a los clientes según su caso de uso para que no tengan que comprometerse. cualquier cosa y disfrute de nuestros servicios y soporte con nuestros complementos API REST.

Métodos de autenticación de API REST de WordPress en nuestro complemento de WordPress

Estos son los métodos de autenticación proporcionados en nuestro complemento API REST de WordPress. Para leer más y familiarizarse con los ejemplos de cartero, haga clic en los enlaces que figuran a continuación:

• Autenticación básica: Es el método básico de autenticación para proteger y asegurar los puntos finales de WordPress, donde los usuarios pueden autenticarse mediante los siguientes dos métodos:

  1. Nombre de usuario: Contraseña: - En este tipo de autenticación básica, se requieren credenciales de usuario como nombre de usuario y contraseña para aprobar al usuario en el sistema.
  2. ID de cliente: Secreto de cliente: - En este tipo de autenticación básica, el complemento proporciona las credenciales del cliente en el encabezado de autorización con codificación base64 o cifrado HMAC de alta seguridad.

• Autenticación de clave API: Este método de seguridad le permite proteger los puntos finales de WordPress sin revelar las credenciales del usuario, ya que el complemento genera una clave API para acceder a cualquier recurso que también puede regenerarse en el complemento o caducar por deseo del administrador.
• Autenticación JWT: Este método utiliza el token JWT emitido por el complemento y funciona como un autenticador de API para proteger sus API REST. El complemento en sí proporciona el punto final de la API REST a través del cual puede generar el token JWT muy fácilmente pasando las credenciales de usuario válidas de WordPress.
• Autenticación OAuth 2.0: Este es el método más seguro para autenticar y proteger las API REST. En caso de que no tenga un proveedor de identidad externo, la autenticación de API REST de WordPress funciona como servidor OAuth (proveedor) y autenticador de API para proteger sus API REST.

  1. Concesión de contraseña: este método se utiliza cuando se necesitan datos específicos del usuario.
  2. Concesión de credenciales de cliente: este método se utiliza para autenticar llamadas API sin tener un usuario específico.

• Autenticación de proveedores externos: Este método se utiliza cuando ya tiene un OAuth/OpenID Connect externo (proveedor de identidad) que le proporciona un token de acceso/token de identificación o un token JWT, que se puede usar para autenticar las API REST de WordPress y el complemento validará el token. directamente desde estos proveedores de tokens y solo con una validación exitosa, se permite el acceso a los puntos finales de API.

¿Qué método de seguridad utilizar y dónde?

• Autenticación básica: Si desea proteger sus API REST de WP (por ejemplo, publicaciones, páginas y otras API REST) ​​con las credenciales de inicio de sesión de WordPress de los usuarios o client-id:client-secret proporcionadas por el propio complemento, puede optar por este método. Se recomienda utilizar este método en HTTPS o en una capa de conexión segura.
• Autenticación de clave API: Si desea proteger sus API REST de WP (por ejemplo, publicaciones, páginas y otras API REST) ​​de usuarios no autenticados pero no desea compartir las credenciales de inicio de sesión de los usuarios o la identificación del cliente, secreto para autenticar la API REST, entonces puede usar la API. Autenticación de clave, que generará una clave de autenticación aleatoria para usted. Con esta clave, puede autenticar cualquier API REST en su sitio. Este método también proporciona una función para generar una clave API específica del usuario para acceder y autenticar las API que involucran permisos de usuario. La clave generada estará en formato cifrado y, por lo tanto, no habrá ninguna violación de la seguridad ni posible fuga de datos.
• Autenticación JWT: Si desea proteger sus API REST utilizando el token JWT y no tiene ningún proveedor externo/proveedor de identidad que emita el token JWT, entonces debe optar por el método de autenticación JWT. En este caso, nuestra autenticación de API REST de WordPress emite el token JWT y funciona como un autenticador de API para proteger sus API REST.
• Autenticación OAuth 2.0 (MÁS SEGURO y MÁS RECOMENDADO): Si está buscando proteger sus API REST utilizando el token de acceso o el token de identificación (token JWT) y al mismo tiempo no tiene ningún proveedor externo/proveedor de identidad, entonces debería Elija el método de autenticación OAuth 2.0. En este escenario, nuestra autenticación de API REST de WordPress funciona como servidor OAuth y autenticador de API para proteger sus API REST.
• Autenticación de proveedores externos: Si está buscando proteger/restringir el acceso a sus API REST de WP utilizando un proveedor OAuth/proveedor de identidad externo como Azure, Amazon Cognito, KeyCloak, Okta, ADFS, Google, Facebook, etc. y Firebase, entonces debe optar por el proveedor externo. Método de autentificación. Aquí, solo necesita configurar el complemento con el punto final de introspección/punto final de información de usuario proporcionado por su proveedor de identidad y podrá autenticar la solicitud de API utilizando el token proporcionado por la aplicación de su proveedor.

Lecturas relacionadas

• Complemento de autenticación Rest Api
• API personalizada para Wordpress
• Documento para desarrolladores -Rest Api
• Métodos de autenticación
• Integraciones de API de descanso
• Sincronización de productos API de WooCommerce
• WooCommerce a la aplicación móvil
• Aplicación de Wordpress a Android
• Integración de API externa personalizada

Complementos recomendados

 Solicite una demostración del complemento