WooCommerce REST API позволяет взаимодействовать с данными интернет-магазина через HTTP-запросы. Это мощный инструмент для интеграций, мобильных приложений или кастомных админ-панелей. Однако открытый доступ к API может создать угрозу безопасности, если не ограничить доступ только авторизованным пользователям. В этой статье подробно рассмотрим, как запретить доступ к WooCommerce REST API для неавторизованных пользователей, сохраняя при этом необходимый функционал.
Почему нужно ограничивать доступ к WooCommerce REST API
REST API WooCommerce по умолчанию доступен при условии аутентификации через ключи API или куки, если пользователь авторизован. Однако многие интеграции могут случайно открыть публичный доступ или ключи могут быть скомпрометированы. Это создает риски:
- Получение конфиденциальных данных о клиентах и заказах;
- Неавторизованное создание, изменение или удаление товаров и заказов;
- Перегрузка сервера из-за частых запросов злоумышленников.
Поэтому стоит явно запретить доступ к REST API WooCommerce для всех, кроме авторизованных пользователей с нужными правами.
Как проверить, что запрос идет к WooCommerce REST API
WooCommerce REST API по умолчанию использует префикс /wp-json/wc/v3/ или /wp-json/wc/v2/. Чтобы перехватить запросы, нужно проверить URI запроса.
В WordPress можно использовать хук rest_authentication_errors, который позволяет возвращать ошибку при попытке аутентификации к REST API. Этот хук отлично подходит для нашей задачи.
Реализация запрета доступа к WooCommerce REST API
Добавим в файл functions.php вашей темы или в отдельный плагин следующий код:
add_filter('rest_authentication_errors', 'wpsetup_restrict_woocommerce_rest_api', 99);
function wpsetup_restrict_woocommerce_rest_api($result) {
// Если уже есть ошибка, возвращаем её
if ($result !== null) {
return $result;
}
$request_uri = $_SERVER['REQUEST_URI'];
// Проверяем, что запрос идет к WooCommerce REST API
if (strpos($request_uri, '/wp-json/wc/') !== false) {
// Проверяем, авторизован ли пользователь
if (!is_user_logged_in()) {
return new WP_Error('rest_forbidden', 'Доступ к WooCommerce REST API разрешен только авторизованным пользователям.', array('status' => 401));
}
// Получаем объект текущего пользователя
$user = wp_get_current_user();
// Проверяем, есть ли у пользователя права на управление WooCommerce
if (!in_array('shop_manager', $user->roles) && !current_user_can('manage_woocommerce')) {
return new WP_Error('rest_forbidden', 'У вас нет прав для доступа к этому ресурсу.', array('status' => 403));
}
}
return $result;
}
В этом коде мы:
- Отслеживаем все REST API запросы;
- Если запрос идет к WooCommerce API (путь содержит
/wp-json/wc/), проверяем авторизацию; - Если пользователь не авторизован, возвращаем ошибку 401 Unauthorized;
- Если пользователь авторизован, но не имеет роли
shop_managerили праваmanage_woocommerce, возвращаем ошибку 403 Forbidden.
Отладка и тестирование
Чтобы проверить работу, выполните запрос к API из браузера или через curl без авторизации:
curl https://ваш-сайт.ru/wp-json/wc/v3/products
Вы должны получить ответ с ошибкой 401 и сообщением о запрете доступа.
Для авторизованных пользователей с ролью shop_manager запросы должны возвращать данные продуктов или другие запрашиваемые ресурсы.
Пример запроса с авторизацией
Для тестирования можно использовать ключи REST API или cookie сессии авторизованного пользователя. Например, с ключами:
curl https://ваш-сайт.ru/wp-json/wc/v3/products \
-u consumer_key:consumer_secret
Дополнительные рекомендации по безопасности WooCommerce REST API
Кроме ограничения доступа через код, рекомендуем:
- Использовать HTTPS для всех API-запросов;
- Регулярно менять ключи REST API;
- Использовать плагины безопасности, например Clearfy Pro, которые помогают управлять доступом и отключать ненужные REST маршруты;
- Ограничивать IP-адреса, с которых возможен доступ к API, если это применимо;
- Периодически проверять логи и статистику использования API.
Заключение
Контроль доступа к WooCommerce REST API — важный аспект безопасности интернет-магазина. С помощью простого кода, приведенного в статье, вы можете быстро запретить доступ для неавторизованных пользователей, снизив риски утечки данных и несанкционированных изменений. Используйте комплексный подход и не забывайте про дополнительные меры безопасности.