Sitenizi güvensiz hale getirebilecek REST API hataları

Öncelikle, REST API nedir ordan başlamak gerekiyor. REST API, WordPress’e çok çeşitli uygulamaları bağlayabilen bir köprü görevi görür. Gutenberg editörüyle nihayet, WordPress yeni teknolojilerle birlikte REST API kullanırken yapılabilecek olanı büyük ölçüde görmeye başlıyoruz.

API’nin JSON yapısı, bilgisayarların ve insanların anlaması için kolaydır, programatik yöntemlerle kullanımını kolaylaştırır. RESTful mimari tarzı, çok çeşitli uygulamaların kendisine bağlanabileceği anlamına gelmekte.

API’ı sitenizin verilerini almak için kullanabilirsiniz, böylece başka bir yerde farklı bir biçimde gösterebilirsiniz yada sitenizi uzaktan kontrol etmek için, oluşturma, güncelleme ve silme gibi komutlar göndererek bu API kullanabilirsiniz. Birlikte bunlar CRUD kısaltmasını oluşturur ve aşağıdaki özellikleri kullanabilirsiniz:

  • Yazılar
  • Yazı Düzeltmeleri
  • Kategoriler
  • Etiketler
  • Sayfalar
  • Yorumlar
  • Taksonomiler
  • Medya
  • Kullanıcılar
  • Yazı Çeşitleri
  • Yazı Durumları
  • Ayarlar

Çok fazla güç sağladığı için, REST API’ın neden bilgisayar korsanları için bu kadar değerli bir açık olduğunu görebilirsiniz. API sistemine erişim sayesinde, tüm sitenizi uzaktan kontrol edebilirler.

Rest API ne işe yaradığını kısaca öğrendiğimize göre şimdi yapılan en temel hataları görelim.

Hassas Bilgilerin Yanlışlıkla Görüntülenmesi

Yazılar ve sayfalar bir WordPress sitesinde varsayılan olarak görüldüğü gibi, REST API de varsayılan olarak etkindir. Yazılarınız, sayfalarınız, kategorileriniz, etiketleriniz, medya vs. verilerinizi görebilirsiniz.

WordPress sitenizin JSON verilerini görmek için sitenizin URL’sini ve ardından tarayıcınızda wp-json/wp /v2/posts yazın. Bütün bu verileri görüyor musun? Siz görebiliyorsanız, herkes görebilir.

WordPress yayınlarınızı hassas bilgileri saklamak için kullanıyorsanız, bu veriler API ile gösterilebilir. Bu, içeriği belirli kullanıcılarla sınırlandırıyorsanız veya bir ödeme duvarı arkasındaki içeriği saklıyor olsanız da görülebilir, bu yüzden neyin görünür olduğunu kontrol etmeniz önemlidir.

Bunun yanısıra yanlışlıkla şirket gizlilik politikasını, HIPAA veya GDPR’yi ihlal eden verileri ifşa ediyor olabilirsiniz.

Canlı Bir Sitede Temel Kimlik Doğrulamayı Kullanma

Kimlik doğrulama, bu kişinin gerçek olup olmadığı sorusuna cevap vermeyi amaçlar. Söyledikleri kişi gerçekten onlar mı?

WordPress REST API’sine yapılan tüm isteklerde kimlik doğrulaması gerekmez. Mesela gönderileri okumak için gerekmez ancak kullanıcıları silmek, yorumları düzenlemek, yeni bir gönderi oluşturmak için gerekir.

WordPress REST API’sini yerel olarak kullanıyorsanız, WordPress ile birlikte gelen çerez kimlik doğrulamasından faydalanabilirsiniz. REST API sistemini farklı bir WordPress sitesi veya özel bir uygulama gibi harici bir istemciden kullanıyorsanız, farklı bir kimlik doğrulama biçimi ayarlamanız gerekir. Bunun için birkaç seçeneğiniz var, OAuth, JSON web belirteçleri veya Temel Kimlik Doğrulamayı kullanabilirsiniz. Temel doğrulama, dikkatinizi çekmek istediğimdir çünkü her durum için uygun değildir. Temel kimlik doğrulamasının çalışması için, kullanıcı adınız ve şifreniz, herkesin görebileceği şekilde başlıktaki her istekle birlikte gönderilir. Bu mantıksız geliyorsa, tamamen haklısın.

SSL Kullanmama

2018 yılında Google, SSL sertifikası olmayan tüm siteleri güvensiz olarak işaretlemeye başladı.

SSL sertifikasına sahip olduğunuzu farz ediyoruz, ama daha yoksa hala ne bekliyorsunuz?!? Günümüzde çoğu hosting şirketinde ücretsiz olarak SSL sertifikası alabilirsiniz.

REST API bir köprü görevi gördüğünden, bu bağlantıyı herhangi bir saldırıya karşı korumak istersiniz. Bunu yapmak için, yalnızca WordPress sitenizin bir SSL sertifikası olması gerekmiyor, harici istemcinizin de bir tanesine sahip olmasına gerekiyor.

Temel olarak, tüm iletişiminizin şifrelenmesi için bağlantıyı her iki uçtan da korumanız gerekir.

Ayrıca, tüm kimlik doğrulamanızın HTTPS protokolü yoluyla gönderildiğinden emin olun, böylece izleyen herkes yalnızca şifreli verileri görür. Bu, çok kritiktir çünkü kimlik doğrulama işlemi, oturum açma kimlik bilgilerinin gönderilmesini ve alınmasını içerir.

Site Footer