Как отключить или ограничить доступ к REST API в WordPress без плагинов

|

REST API в WordPress — мощный инструмент, который позволяет создавать внешние приложения, мобильные клиенты и интеграции с сайтом. Однако бывают ситуации, когда необходимо ограничить или полностью отключить доступ к REST API, чтобы повысить безопасность, уменьшить нагрузку или предотвратить утечку данных. В этой статье разберем, как сделать это без использования плагинов, используя только собственный код.

Что такое REST API в WordPress и зачем его ограничивать

REST API — это интерфейс для обмена данными между сайтом и внешними приложениями через HTTP-запросы. По умолчанию API открыт для всех пользователей, что иногда становится проблемой:

  • Потенциальные угрозы безопасности: злоумышленники могут пытаться получить конфиденциальные данные или проводить атаки.
  • Высокая нагрузка: частые запросы к API могут снижать производительность сайта.
  • Необходимость скрыть определённые данные: например, если у вас закрытый сайт или внутренняя система.

Поэтому логично контролировать доступ к REST API и при необходимости ограничивать его.

Как полностью отключить REST API в WordPress

Если REST API вам не нужен, можно полностью его отключить. Для этого нужно добавить в файл functions.php вашей темы или в отдельный плагин следующий код:

function wpapp_disable_rest_api( $access ) {
    return new WP_Error( 'rest_disabled', 'REST API отключён на этом сайте.', array( 'status' => 403 ) );
}
add_filter( 'rest_authentication_errors', 'wpapp_disable_rest_api' );

Этот фильтр перехватывает попытки аутентификации через REST API и возвращает ошибку 403 Forbidden. Таким образом, любые запросы к API будут закрыты.

Обратите внимание, что это полностью блокирует API, включая административные и публичные запросы, что может повлиять на работу некоторых плагинов или тем.

Альтернативный метод отключения REST API для неавторизованных пользователей

Часто нужно разрешить API только авторизованным пользователям, например, администраторам и редакторам. Для этого используйте следующий код:

function wpapp_restrict_rest_api_access( $access ) {
    if ( ! is_user_logged_in() ) {
        return new WP_Error( 'rest_forbidden', 'Доступ к REST API разрешён только авторизованным пользователям.', array( 'status' => 401 ) );
    }
    return $access;
}
add_filter( 'rest_authentication_errors', 'wpapp_restrict_rest_api_access' );

Теперь API будет доступен только залогиненным пользователям. Это достаточно простой и надёжный способ защитить сайт.

Как ограничить доступ к REST API по ролям пользователей

Если требуется более точечный контроль — например, разрешать доступ только администраторам, а остальным пользователям блокировать — можно использовать проверку ролей:

function wpapp_limit_rest_api_by_role( $access ) {
    if ( ! is_user_logged_in() ) {
        return new WP_Error( 'rest_forbidden', 'Доступ к REST API разрешён только авторизованным пользователям.', array( 'status' => 401 ) );
    }

    $user = wp_get_current_user();
    if ( ! in_array( 'administrator', (array) $user->roles ) ) {
        return new WP_Error( 'rest_forbidden', 'Доступ к REST API разрешён только администраторам.', array( 'status' => 403 ) );
    }

    return $access;
}
add_filter( 'rest_authentication_errors', 'wpapp_limit_rest_api_by_role' );

Таким образом, только администраторы смогут использовать REST API, все остальные пользователи и гости получат ошибку.

Отключение REST API для определённых маршрутов

Иногда нужна избирательная блокировка, например, закрыть доступ к API для публичных данных, но оставить административные эндпоинты. Для этого можно проверять путь запроса в глобальной переменной $wp->request или в объекте WP_REST_Request.

Пример кода для блокировки публичных маршрутов:

function wpapp_restrict_rest_routes( $access ) {
    $request_uri = isset( $_SERVER['REQUEST_URI'] ) ? $_SERVER['REQUEST_URI'] : '';

    // Блокируем все запросы к /wp-json/wp/v2/posts
    if ( strpos( $request_uri, '/wp-json/wp/v2/posts' ) !== false ) {
        if ( ! is_user_logged_in() ) {
            return new WP_Error( 'rest_forbidden', 'Доступ к постам через REST API закрыт.', array( 'status' => 403 ) );
        }
    }

    return $access;
}
add_filter( 'rest_authentication_errors', 'wpapp_restrict_rest_routes' );

Этот способ требует аккуратности, чтобы не нарушить работу нужных эндпоинтов.

Использование плагинов для контроля REST API на wpapp.ru

Хотя наша задача — обойтись без плагинов, иногда удобнее использовать готовые решения с более гибким интерфейсом. Например:

  • Clearfy Pro — имеет функцию ограничения доступа к REST API, а также множество других оптимизаций.
  • WPCommunity — если у вас социальный сайт, можно гибко настроить API под пользователей.

Плагины часто предоставляют удобные настройки в админке и помогают избежать ошибок при ручном кодировании.

Рекомендации и лучшие практики по работе с REST API

При работе с REST API учитывайте следующие моменты:

  • Тестируйте изменения на тестовом сайте — отключение API может сломать некоторые функции.
  • Используйте rest_authentication_errors для контроля доступа, а не отключайте полностью API, если это не критично.
  • Если нужно частично ограничить данные, рассмотрите создание собственных эндпоинтов с кастомной логикой.
  • Обязательно проверяйте права пользователя и аутентификацию в ваших фильтрах.

Выводы

Отключение или ограничение REST API в WordPress можно реализовать просто и быстро с помощью фильтра rest_authentication_errors. Это эффективный способ повысить безопасность и контролировать нагрузку на сайт без установки плагинов. Важно грамотно подходить к задачам и тестировать все изменения, чтобы не нарушить функциональность вашего WordPress-сайта.

Наш каталог плагинов WordPress