A Interface de Programação de Aplicativo de Transferência de Estado Representacional (API REST) é uma das APIs mais populares que você pode usar, mas apresenta seus riscos. Se você não sabe como proteger seu site e seus dados, pode ficar vulnerável a ataques e vazamentos de dados.
Felizmente, você pode usar algumas dicas para proteger seus dados ao usar a API REST. Ferramentas como o plugin Disable WP REST API e o plugin REST API Toolbox podem ser indispensáveis.
Neste guia, discutimos como usar a API REST com segurança. Explicamos os perigos potenciais do uso dessa interface e algumas dicas que você pode implementar para proteger seus dados. Vamos ao trabalho!
Os perigos potenciais da API REST
A API REST é uma interface que você pode usar para se comunicar com computadores ou sistemas para executar funções ou recuperar informações. Esta interface atua como um intermediário entre usuários (clientes) e bancos de dados, permitindo a busca por serviços e recursos.
Além disso, as organizações podem controlar quem tem acesso a quais informações. Essa tecnologia funciona dentro da estrutura REST , que mais comumente entrega informações no formato Javascript Object Notation (JSON) .
No contexto do WordPress , a API REST do WordPress é uma ferramenta incrível para desenvolvedores. Ele permite que você crie plug-ins que podem controlar sua experiência de administração, ajudá-lo a desenvolver um front end diferente ou permitir que você use seu conteúdo WordPress em diferentes aplicativos.
Esta API é muito útil, mas não é isenta de riscos. Se você usar esta API sem verificações de segurança implementadas, poderá deixar seus dados vulneráveis a vazamentos, violações de segurança e outros ataques de hackers. Por exemplo, usar HTTP em sua API REST coloca você em risco de vazamento de informações devido à falta de criptografia .
Além disso, o processamento de ponta a ponta na API REST também pode tornar seus dados vulneráveis. Uma operação fraca pode comprometer todo o aplicativo e torná-lo um alvo mais fácil para vários ataques.
Por exemplo, os hackers podem mover dados não confiáveis para sua API. Isso é conhecido como um ataque de injeção e pode permitir que a entidade acesse suas informações ou execute funções não autorizadas. Como alternativa, eles podem realizar um ataque de negação de serviço (DoS) , enviando várias solicitações vinculadas a endereços de retorno inválidos. Isso pode tornar a API não funcional.
Além disso, a falta de autenticação adequada ou medidas de criptografia pode permitir que hackers contornem seu sistema de segurança e apreendam dados não autorizados. Se esses dados contiverem informações confidenciais, como senhas ou detalhes de cartão de crédito, os resultados podem ser catastróficos.
Um exemplo notório de violação de segurança na API REST é quando hackers roubaram dados pessoais de mais de 50 milhões de usuários do Facebook em 2018. Esta vulnerabilidade de segurança permitiu aos desenvolvedores acessar tokens de autenticação e renderizar páginas como usuários.
Como usar a API REST com segurança (7 dicas)
Se você estiver se sentindo um pouco preocupado a esta altura, não se preocupe. Existem várias maneiras de garantir que você esteja usando a API REST da maneira mais livre de riscos possível – aqui estão sete dos melhores métodos.
1. Use HTTPS
Usar o protocolo HTTPS (Hypertext Transfer Protocol Secure) é uma das maneiras mais simples de proteger suas conexões API REST. HTTPS usa uma conexão criptografada segura e gera um token de acesso aleatório em vez de credenciais de autenticação. Em outras palavras, ele criptografa os dados enviados e, portanto, os torna mais seguros.
Você pode ativar o HTTPS configurando o servidor de integração para usar SSL , criando uma integração de chave pública (PKI) e ativando o HTTPS na descrição da API REST.
2. Dê às entidades o menor privilégio
Você também pode manter seus dados mais seguros, dando às entidades o nível mais baixo de privilégio possível e usando padrões seguros. Por exemplo, os usuários só devem ter acesso às permissões para as tarefas que precisam realizar. Você pode definir essas permissões no nível mais baixo e removê-las quando o usuário não precisar mais delas.
Além disso, você pode definir como padrão os usuários devem solicitar permissão para acessar quaisquer dados. Dessa forma, você pode impedir que entidades acessem informações confidenciais.
3. Use o plug-in Desativar WP REST API
O plug-in Disable WP REST API permite que você impeça os usuários de usar a API se não estiverem logados no WordPress:
Portanto, ele impede que visitantes e entidades desconhecidas acessem seus dados e, potencialmente, abusem deles. Dessa forma, você pode garantir que apenas usuários autenticados tenham acesso à interface.
Este plugin é simples de usar e leve. Possui apenas 22 linhas de código, para que possa atuar de forma rápida e eficiente no seu site WordPress.
4. Instale o REST API Toolbox Plugin
A REST API Toolbox é outra excelente opção de plug-in. É uma ferramenta muito amigável que pode aumentar a segurança geral do seu site:
Este plug-in pode desabilitar a API para usuários específicos, solicitar autenticação antes que os usuários possam acessar pontos de extremidade principais, remover pontos de extremidade principais e também forçar conexões SSL. Em outras palavras, oferece controle fácil sobre quais informações as entidades podem recuperar e usar.
5. Tornar a API REST sem estado
Recomendamos manter sua API REST sem estado . Isso significa que você não deve armazenar autenticações ou autorizações com cookies, ou torná-los disponíveis dentro das sessões. Na ausência de estado, o cliente deve inserir informações sempre que tiver uma solicitação, porque nada é armazenado.
A apatridia é essencial porque garante segurança contínua. Você pode implementá-lo não armazenando nenhuma informação de autorização ou autenticação e solicitando credenciais para cada função na API.
6. Use hash de senha
Também é uma boa ideia considerar o hash de todas as senhas em seu banco de dados WordPress. Hash de senha significa transformar essas senhas em cadeias de caracteres que você não pode ler.
Depois de fazer o hash de uma senha, você não pode revertê-la para seu formato original. Portanto, se um usuário violar seu sistema e acessar seu banco de dados por meio da API REST, as senhas terão uma camada adicional de segurança:
Existem vários algoritmos de hash de senha , incluindo SHA-256 e SHA-3, e alguns agora estão desatualizados. Por exemplo, não recomendamos o uso do algoritmo MD5 porque ele é inseguro .
7. Mantenha as coisas simples
No geral, manter a API o mais simples possível é uma das coisas mais seguras que você pode fazer. Quanto mais complicado você projetar seus mecanismos de segurança, mais provável será que você deixe uma lacuna que o exponha a ataques. Focar nos conceitos principais e usar plug-ins pode reduzir a probabilidade de cometer erros.