WordPress Headless Shift Left Security —

Q: Headless WordPress คืออะไร

Headless WordPress คือการใช้ WordPress เป็น Backend CMS เท่านั้น ไม่ใช้ Theme สำหรับแสดงผล ใช้ REST API หรือ WPGraphQL ส่งข้อมูลไป Frontend แยก เช่น Next.js Nuxt.js Astro Gatsby Frontend เรียก API ดึงข้อมูล Post Page Custom Post Type Menu ข้อดี Performance ดีกว่า Theme แบบเดิม Security ลด Attack Surface ไม่มี Theme Vulnerability Flexibility เลือก Frontend Framework ได้อิสระ Scalability Frontend Cache ที่ CDN ได้ SEO ดี ใช้ SSR SSG Incremental Static Regeneration ข้อเสีย ซับซ้อนกว่า ต้องดูแล 2 ระบบ Preview ยากกว่า Plugin บางตัวไม่รองรับ

Q: Shift Left Security คืออะไร

Shift Left Security คือการทำ Security Testing ตั้งแต่เริ่ม Development ไม่รอตอนท้าย ใน Headless WordPress Shift Left หมายถึง ตรวจ WordPress Plugin Vulnerability ก่อน Install ตรวจ API Endpoint Security ตั้งแต่ Development ตรวจ Authentication Authorization ทุก Endpoint ตรวจ Input Validation ป้องกัน Injection ตรวจ CORS Configuration ก่อน Deploy ตรวจ Rate Limiting ป้องกัน API Abuse ตรวจ Secret Management ไม่ Hardcode API Key ใช้ SAST DAST SCA ใน CI/CD Pipeline ทุก PR ต้องผ่าน Security Scan ก่อน Merge

Q: API Security ทำอย่างไร

Authentication ใช้ JWT Token หรือ Application Password ไม่ใช้ Cookie-based Auth สำหรับ API Authorization ตั้ง Permission ทุก Endpoint ดู Read-only สำหรับ Public Content เท่านั้น CORS ตั้ง Access-Control-Allow-Origin เฉพาะ Frontend Domain ไม่ใช้ * Rate Limiting จำกัด Request ต่อ IP ต่อนาที ป้องกัน DDoS API Abuse Input Validation ตรวจ Query Parameter ทุกตัว ป้องกัน SQL Injection XSS Disable REST API Endpoints ที่ไม่ใช้ เช่น /wp/v2/users ปิดถ้าไม่จำเป็น WAF ใช้ Web Application Firewall ป้องกัน Common Attacks Monitoring ดู API Access Log หา Suspicious Activity

Q: CI/CD Security Pipeline ทำอย่างไร

Pre-commit Secret Detection ใช้ GitLeaks หา API Key Password ที่ Hardcode PR Stage SAST ใช้ Semgrep SonarQube ตรวจ Code Vulnerability SCA ใช้ WPScan Snyk ตรวจ Plugin Theme Vulnerability DAST ใช้ OWASP ZAP Nuclei ตรวจ API Endpoint Build Stage ตรวจ Docker Image Vulnerability ด้วย Trivy Grype Deploy Stage ตรวจ WordPress Configuration Security Headers CORS Staging ตรวจ Penetration Test อัตโนมัติก่อน Production Production Monitor API Access WAF Logs Uptime ทุก Stage ต้อง Pass ก่อนไปต่อ Quality Gate Block Deploy ถ้ามี Critical

Headless WordPress Security

WordPress Headless Shift Left Security REST API WPGraphQL JWT CORS Rate Limiting SAST DAST SCA CI/CD WAF Next.js Nuxt.js

Attack Surface	Traditional WP	Headless WP	Mitigation
Theme Vulnerability	สูง	ไม่มี (ไม่ใช้ Theme)	-
Plugin Vulnerability	สูง	ปานกลาง (ใช้น้อยลง)	WPScan + SCA
API Endpoint	ต่ำ (ไม่ค่อยใช้)	สูง (ใช้เป็นหลัก)	Auth + Rate Limit
Admin Login	สูง (เปิด Public)	ปานกลาง (ซ่อนได้)	IP Whitelist + MFA
XSS	สูง (Theme)	ปานกลาง (API)	Input Validation + CSP

API Security Configuration

# === WordPress Headless API Security ===

# wp-config.php Security Headers
# // Disable XML-RPC (not needed for headless)
# define('XMLRPC_DISABLED', true);
#
# // Limit REST API to authenticated users for write operations
# add_filter('rest_authentication_errors', function($result) {
#     if (!is_user_logged_in() && $_SERVER['REQUEST_METHOD'] !== 'GET') {
#         return new WP_Error('rest_forbidden', 'Authentication required', ['status' => 401]);
#     }
#     return $result;
# });
#
# // Disable user enumeration via REST API
# add_filter('rest_endpoints', function($endpoints) {
#     if (isset($endpoints['/wp/v2/users'])) {
#         unset($endpoints['/wp/v2/users']);
#     }
#     return $endpoints;
# });
#
# // CORS Configuration
# add_action('rest_api_init', function() {
#     remove_filter('rest_pre_serve_request', 'rest_send_cors_headers');
#     add_filter('rest_pre_serve_request', function($value) {
#         header('Access-Control-Allow-Origin: https://frontend.example.com');
#         header('Access-Control-Allow-Methods: GET, OPTIONS');
#         header('Access-Control-Allow-Headers: Authorization, Content-Type');
#         return $value;
#     });
# });

from dataclasses import dataclass

@dataclass
class SecurityConfig:
    config: str
    purpose: str
    implementation: str
    impact: str

configs = [
    SecurityConfig("Disable XML-RPC",
        "ปิด XML-RPC ไม่จำเป็นสำหรับ Headless",
        "define('XMLRPC_DISABLED', true) หรือ Plugin",
        "ลด Attack Surface Brute Force Pingback DDoS"),
    SecurityConfig("REST API Auth",
        "บังคับ Auth สำหรับ Write Operations",
        "rest_authentication_errors filter",
        "ป้องกัน Unauthorized Data Modification"),
    SecurityConfig("Disable User Endpoint",
        "ปิด /wp/v2/users ป้องกัน User Enumeration",
        "rest_endpoints filter unset users",
        "ป้องกัน Attacker รู้ Username"),
    SecurityConfig("CORS Strict",
        "อนุญาตเฉพาะ Frontend Domain",
        "Access-Control-Allow-Origin: frontend.example.com",
        "ป้องกัน Cross-origin API Abuse"),
    SecurityConfig("Rate Limiting",
        "จำกัด Request ต่อ IP",
        "Nginx limit_req หรือ Plugin WP Rate Limit",
        "ป้องกัน DDoS API Scraping"),
    SecurityConfig("JWT Authentication",
        "ใช้ JWT แทน Cookie Auth สำหรับ API",
        "WP JWT Auth Plugin + Bearer Token",
        "Stateless Auth เหมาะกับ Headless"),
]

print("=== Security Configs ===")
for c in configs:
    print(f"  [{c.config}] {c.purpose}")
    print(f"    Impl: {c.implementation}")
    print(f"    Impact: {c.impact}")

CI/CD Security Pipeline

# === Shift Left Security Pipeline ===

@dataclass
class PipelineStage:
    stage: str
    tools: str
    checks: str
    gate: str

pipeline = [
    PipelineStage("1. Pre-commit",
        "GitLeaks + Husky",
        "Secret Detection: API Key Password Token ที่ Hardcode",
        "Block Commit ถ้ามี Secret"),
    PipelineStage("2. PR - SAST",
        "Semgrep + SonarQube",
        "Code Vulnerability, SQL Injection, XSS, SSRF Pattern",
        "Block Merge ถ้ามี Critical/High"),
    PipelineStage("3. PR - SCA",
        "WPScan + Snyk + npm audit",
        "WordPress Plugin/Theme CVE, npm Package Vulnerability",
        "Block Merge ถ้ามี Critical"),
    PipelineStage("4. Build - Image Scan",
        "Trivy + Grype",
        "Docker Image Vulnerability, OS Package CVE",
        "Block Deploy ถ้ามี Critical"),
    PipelineStage("5. Staging - DAST",
        "OWASP ZAP + Nuclei + WPScan",
        "API Endpoint Security, Headers, CORS, Auth Bypass",
        "Block Production Deploy ถ้ามี High+"),
    PipelineStage("6. Production - Monitor",
        "WAF + Uptime + Log Analysis",
        "API Abuse, Brute Force, Suspicious Activity",
        "Alert SOC + Auto-block IP"),
]

print("=== Security Pipeline ===")
for p in pipeline:
    print(f"\n  [{p.stage}]")
    print(f"    Tools: {p.tools}")
    print(f"    Checks: {p.checks}")
    print(f"    Gate: {p.gate}")

Production Hardening

# === WordPress Production Hardening ===

@dataclass
class HardeningRule:
    rule: str
    config: str
    risk_mitigated: str

hardening = [
    HardeningRule("Hide wp-admin",
        "ใช้ Plugin WPS Hide Login เปลี่ยน URL + IP Whitelist",
        "Brute Force Attack บน Login Page"),
    HardeningRule("MFA for Admin",
        "บังคับ Two-Factor Authentication ทุก Admin Account",
        "Credential Stuffing Account Takeover"),
    HardeningRule("Security Headers",
        "X-Content-Type-Options X-Frame-Options CSP HSTS",
        "XSS Clickjacking MIME Sniffing"),
    HardeningRule("File Permission",
        "wp-config.php 400, .htaccess 444, uploads 755",
        "File Modification Malware Upload"),
    HardeningRule("Database Prefix",
        "เปลี่ยน wp_ เป็น Custom Prefix",
        "SQL Injection ที่ Target Default Table Name"),
    HardeningRule("Auto Update",
        "เปิด Auto Update สำหรับ Core Minor + Plugin Security",
        "Known Vulnerability ที่มี Patch แล้ว"),
    HardeningRule("Backup Strategy",
        "Daily Backup Database + Files ไป Off-site Storage",
        "Data Loss Ransomware Accidental Delete"),
]

print("=== Hardening Rules ===")
for h in hardening:
    print(f"  [{h.rule}]")
    print(f"    Config: {h.config}")
    print(f"    Mitigates: {h.risk_mitigated}")

เคล็ดลับ

API Only: เปิดเฉพาะ GET สำหรับ Public ปิด POST/PUT/DELETE
WPScan: รัน WPScan ทุกสัปดาห์หา Plugin Vulnerability
CORS: ตั้ง CORS เฉพาะ Frontend Domain ไม่ใช้ *
MFA: บังคับ MFA ทุก Admin Account ไม่มีข้อยกเว้น
Monitor: ดู API Access Log หา Suspicious Pattern

Headless WordPress คืออะไร

WordPress Backend CMS REST API WPGraphQL Frontend Next.js Nuxt.js Astro SSR SSG Performance Security ลด Attack Surface CDN Cache

Shift Left Security คืออะไร

Security Testing ตั้งแต่ต้น Plugin Scan API Endpoint Auth CORS Rate Limit Secret SAST DAST SCA CI/CD PR Block Quality Gate

API Security ทำอย่างไร

JWT Auth REST API Filter CORS Strict Rate Limiting Input Validation Disable User Endpoint WAF Monitor XML-RPC Disabled Security Headers

CI/CD Security Pipeline ทำอย่างไร

Pre-commit GitLeaks SAST Semgrep SCA WPScan Snyk Image Trivy DAST OWASP ZAP Nuclei Production WAF Monitor Block Deploy Quality Gate

สรุป

WordPress Headless Shift Left Security REST API JWT CORS Rate Limit SAST DAST SCA WPScan CI/CD WAF MFA Hardening Production Monitor

WordPress Headless Shift Left Security