WordPress預設會幫你開RESTful API,就是個網站管理者會覺得很好用的工具,所以通常駭客們也會覺得很好用。因此,今天用了Stackoverflow上找到的方法把RESTful API上了鎖,等於要有認證的狀態下才能獲得Response。
註:預設的認證方式是用Cookie,但有其他Plugin提供其他認證方式,理論上會更加安全才是。
首先來看看沒有關RESTful API的會是怎樣的情況
但只要到後台把functions.php加上幾行Code:
再想來個RESTful API call就會被直接擋掉了
雖然不關也不用整天擔心到睡不著覺怕有駭客攻擊,但畢竟就是一個攻擊的入口,把門加上一個鎖還是比較安心的(然後祈禱這把鎖沒有漏洞,好吧做資安的就是這麼沒完沒了...)
