WordPress REST API üzerinde karşılaşılan JSON geçersiz(hata) ve yetkisiz erişim problemleri, entegrasyonlarınızın işleyişini ciddi şekilde durdurabilir. Aşağıdaki adımlar, hata kaynaklarını hızlı tespit edip güvenli ve performanslı bir REST API ortamı kurmanıza yardımcı olur.

REST API’ye gelen istekler, kimlik doğrulama, yetkilendirme hataları, CORS politikaları veya yanlış yapılandırılmış .htaccess/server ayarları nedeniyle reddedilebilir. Özellikle JSON payload’larında hatalı yapılandırma veya imza eksikliği durumunda “Invalid JSON” veya benzeri hatalar oluşur. Ayrıca bazı durumlarda 403 Yetkisiz Erişim hatası, güvenlik katmanlarındaki eksikliklerden kaynaklanır.

PHP — REST API için güvenli ve temiz yanıt döndürme örneği:
“`php
// REST API isteği için izin kontrolü
function lupusoft_rest_verify_request( $request ) {
$user = wp_get_current_user();
if ( ! $user->exists() || ! in_array( ‘administrator’, (array) $user->roles ) ) {
return new WP_REST_Response( array( ‘message’ => ‘Yetkisiz erişim.’ ), 403 );
}
return true;
}
add_filter( ‘rest_authentication_errors’, function( $result ) {
if ( $result !== true ) {
return $result;
}
return lupusoft_rest_verify_request( $_REQUEST );
});
“`

JSON Çıktısı Örneği (yetkisiz erişim):
{
“code”: “rest_forbidden”,
“message”: “Yetkisiz erişim.”,
“data”: {
“status”: 403
}
}

Çözüm Adımları

Adım Adım Uygulama Metni
Adım 1: Kimlik Doğrulama Katmanı Eklemek
– JWT veya OAuth 2.0 ile REST API’yi güvenli hale getirin.
– Endpoints için özel yetkilendirme kontrolleri ekleyin.
– Yetkisiz erişimde 403 dönün ve hassas verinin sızıntısını engelleyin.

Adım 2: JSON Doğrulama ve Hata Yönetimi
– Gelen payload’u güvenli biçimde doğrulayın ve hatalı JSON için 400 döndürün.
– Hata yanıtlarında güvenli olmayan detayları paylaşmayın.

Adım 3: Rate Limiting ve Sınırlama
– Sunucu tarafında istek hızını sınırlayın; 429 Too Many Requests döndürün.
“`php
function lupusoft_rate_limit( $endpoint ) {
$key = ‘rl_’. md5( $endpoint ) .’_’. get_current_user_id();
$count = (int) get_transient( $key );
if ( $count >= 60 ) {
return false;
}
set_transient( $key, $count + 1, 60 );
return true;
}
“`

Adım 4: CORS ve Güvenlik Başlıkları
– Doğru kaynakları sınırlayan CORS politikaları uygulayın.
“`php
add_action( ‘init’, function() {
header( “Access-Control-Allow-Origin: https://yourtrusteddomain.com” );
header( “Access-Control-Allow-Methods: GET, POST, OPTIONS” );
header( “Access-Control-Allow-Credentials: true” );
header( “X-Content-Type-Options: nosniff” );
header( “X-Frame-Options: SAMEORIGIN” );
} );
“`

Adım 5: Dış Entegrasyonlarda Güvenlik
– Webhook’lar için imza doğrulama kullanın (HMAC).
“`php
$secret = ‘wS3cr3tK3y’;
$payload = file_get_contents(‘php://input’);
$signature = isset($_SERVER[‘HTTP_X_HUB_SIGNATURE’]) ? $_SERVER[‘HTTP_X_HUB_SIGNATURE’] : ”;
$computed = ‘sha1=’ . hash_hmac(‘sha1’, $payload, $secret);
if ( ! hash_equals( $computed, $signature ) ) {
http_response_code( 403 );
echo json_encode( array( ‘error’ => ‘Imza doğrulanamadı’ ) );
exit;
}
“`

Çözüm Adımları (Detaylı Uygulama)
– Endpoints’de yetki kontrolleri merkezi bir yerde toplanmalı ve tüm çağrılar bu kontrollerden geçmelidir.
– JSON doğrulama hatalarını anlamlı ama güvenli bir biçimde ele alın.
– Rate limit uygulaması, kullanıcıya uygun bir mesajla 429 durum kodu döndürmelidir.
– Webhook ve üçüncü parti entegrasyonlar için imza/doğrulama mekanizmalarını zorunlu kılın.

Sonuç
REST API güvenliği, hatalı istemcilerden kaynaklanan sorunları en başında kesmeyi sağlar. Kimlik doğrulama, yetkilendirme, hata yönetimi, rate limiting ve imza doğrulama gibi katmanlar, özellikle dış entegrasyonların yoğun olduğu ortamlarda kritik öneme sahiptir. Bu adımlar, mevcut WordPress kurulumunuza güvenli ve performanslı bir REST API ortamı kazandırır.

Bu yazıyı beğendiyseniz, sosyal medya hesaplarınızda paylaşarak daha fazla kişiye ulaşmasını sağlayabilirsiniz. 😊

Ayrıca bizi sosyal medyada da takip edebilirsiniz;
Instagram: @lupusoft
Facebook: @lupusoft
X: @lupusoft
LinkedIn: @lupusoft