Как избежать проблем с SSL при использовании WP REST API в WordPress

Автор: Елена Журавлева | Опубликовано: 08.02.2026

WP REST API — мощный инструмент для взаимодействия с WordPress из внешних приложений, мобильных устройств или фронтенд-фреймворков. Однако при использовании HTTPS и SSL-сертификатов часто возникают специфические проблемы, которые могут привести к ошибкам соединения, смешанному контенту или отказам в доступе. В этой статье мы подробно рассмотрим, как избежать проблем с SSL при работе с WP REST API, приведём примеры кода и настройки, а также рассмотрим популярные плагины для диагностики и исправления ошибок.

Почему возникают проблемы с SSL при использовании WP REST API

Основные причины проблем с SSL в WP REST API связаны с некорректной конфигурацией HTTPS на сервере или неправильной обработкой URL в WordPress. Часто встречаются следующие ситуации:

Сертификат не доверенный или самоподписанный — API-запросы блокируются.
Смешанный контент — когда часть запросов идёт по HTTP, часть по HTTPS.
Некорректные URL в настройках WordPress (home_url, site_url) — REST API формирует ссылки на HTTP.
Проблемы с прокси-серверами и перенаправлениями, которые ломают SSL-соединение.
Ошибки CORS и политики безопасности, связанные с HTTPS.

Чтобы избежать этих проблем, необходимо правильно настроить сервер, WordPress и клиентские запросы.

Настройка WordPress для корректной работы WP REST API по HTTPS

Проверка URL в настройках

Первое, что нужно сделать — убедиться, что в админке WordPress в разделе "Настройки" → "Общие" поля "Адрес WordPress (URL)" и "Адрес сайта (URL)" используют протокол https://. Если там http://, REST API будет формировать ссылки без защиты SSL, что приведёт к ошибкам.

Для программной проверки и исправления можно использовать следующий код, например, в functions.php вашей темы или в отдельном плагине:

function wpssl_fix_site_urls_https() {
    if (strpos(home_url(), 'http://') === 0) {
        update_option('home', str_replace('http://', 'https://', get_option('home')));
        update_option('siteurl', str_replace('http://', 'https://', get_option('siteurl')));
    }
}
add_action('init', 'wpssl_fix_site_urls_https');

Этот код заменит http:// на https:// в настройках при инициализации WordPress.

Использование фильтра для принудительного HTTPS в REST API

Если по каким-то причинам WordPress генерирует REST API URL с HTTP, можно принудительно исправить их через фильтр rest_url:

function wpssl_force_rest_api_https( $url, $path, $blog_id ) {
    if (strpos($url, 'http://') === 0) {
        $url = preg_replace('#^http://#', 'https://', $url);
    }
    return $url;
}
add_filter('rest_url', 'wpssl_force_rest_api_https', 10, 3);

Это поможет избежать смешанного контента при вызове API.

Решение проблем с SSL-сертификатом и CURL в WP REST API

Диагностика ошибок SSL в запросах

При выполнении запросов к WP REST API с помощью PHP-функций, таких как wp_remote_get() или wp_remote_post(), могут возникать ошибки SSL, например SSL certificate problem или cURL error 60. Это чаще всего связано с отсутствием или неправильной настройкой корневых сертификатов на сервере.

Чтобы проверить, как WordPress работает с SSL, можно добавить следующий код для отладки:

function wpssl_test_ssl_curl() {
    $response = wp_remote_get('https://wpssl.ru');
    if (is_wp_error($response)) {
        error_log('SSL error: ' . $response->get_error_message());
    } else {
        error_log('SSL connection successful');
    }
}
add_action('admin_init', 'wpssl_test_ssl_curl');

Если появится ошибка, нужно проверить конфигурацию OpenSSL и сертификаты на сервере.

Обход ошибок SSL (не рекомендуется в продакшене)

Для временного обхода ошибок SSL в REST API-запросах можно использовать параметр 'sslverify' => false:

$response = wp_remote_get('https://example.com/wp-json/wp/v2/posts', [
    'sslverify' => false
]);

Однако этот способ снижает безопасность и не рекомендуется использовать в рабочем окружении.

Плагины для диагностики и улучшения работы SSL и REST API

Для упрощения настройки и отладки SSL и REST API можно использовать несколько полезных плагинов:

Clearfy Pro — расширяет возможности оптимизации безопасности и исправляет распространённые ошибки WordPress, включая проблемы с SSL и REST API.
WP Remark — помогает настроить безопасные комментарии и защищает REST API от нежелательных запросов.
Expert Review — можно использовать для мониторинга состояния сайта, в том числе проверки сертификатов и HTTPS-соединений.

Установка и использование плагинов упрощают диагностику и помогают избежать ошибок без ручной правки кода.

Настройка CORS и заголовков безопасности HTTPS для REST API

Проблемы с CORS при использовании REST API по HTTPS

При вызове WP REST API с фронтенда или из другого домена часто возникают ошибки CORS (Cross-Origin Resource Sharing). Особенно это актуально при HTTPS, так как браузеры строго проверяют происхождение запросов.

Для разрешения CORS-запросов необходимо добавить в WordPress соответствующие заголовки. Например, в functions.php можно добавить:

function wpssl_add_cors_headers() {
    if (isset($_SERVER['HTTP_ORIGIN'])) {
        header('Access-Control-Allow-Origin: ' . esc_url_raw($_SERVER['HTTP_ORIGIN']));
        header('Access-Control-Allow-Credentials: true');
        header('Access-Control-Allow-Methods: GET, POST, OPTIONS');
        header('Access-Control-Allow-Headers: Authorization, Content-Type');
    }
    if ('OPTIONS' == $_SERVER['REQUEST_METHOD']) {
        exit; // Прекращаем выполнение для preflight-запросов
    }
}
add_action('rest_api_init', 'wpssl_add_cors_headers', 15);

Это позволит корректно обрабатывать запросы с других доменов, сохраняя безопасность.

Настройка заголовков безопасности HTTPS

Чтобы повысить безопасность REST API, важно настроить заголовки безопасности, такие как Content-Security-Policy (CSP), Strict-Transport-Security (HSTS) и другие. Например, для HSTS добавьте в .htaccess или nginx конфигурацию:

# Apache
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

# nginx
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Правильная настройка этих заголовков уменьшит риски атак и усилит работу SSL при вызове REST API.

Пример интеграции вызовов WP REST API с учётом SSL в фронтенде

При разработке фронтенда на JavaScript, например на React или Vue, важно использовать HTTPS для всех вызовов REST API, чтобы избежать смешанного контента и ошибок безопасности. Пример запроса с использованием fetch:

fetch('https://wpssl.ru/wp-json/wp/v2/posts')
  .then(response => {
    if (!response.ok) throw new Error('Network response was not ok');
    return response.json();
  })
  .then(data => console.log(data))
  .catch(error => console.error('Fetch error:', error));

Обратите внимание, что URL обязательно начинается с https://. Если API находится на другом домене, настройте CORS заголовки, как описано выше.