最近、読者からよく耳にする質問を受けた:「WordPress サイトで REST API を無効化するにはどうすればよいですか?そして正直なところ、それは正しい懸念だ。
WordPressのバージョン4.4がJSON REST APIとともにリリースされたとき、開発者に可能性の世界が広がりました。しかし、多くのサイトオーナーはJSON REST APIを不要と考え、それがもたらす潜在的な脆弱性を心配しています。
この投稿では、WordPressのJSON REST APIを簡単に無効化する方法を紹介します。
WordPressでJSON REST APIを無効化する理由とは?
APIがWordPress開発者にとって多くのメリットがあることは否定できない。APIを使えば、GETリクエストを使ってデータを取得するのがとても簡単になるので、WordPressでアプリを作る人には便利だ。
とはいえ、これはあなたのサイトをDDoS攻撃の新たな脅威にさらす可能性があります。また、リソースを消費し、WordPressサイトの速度を低下させる可能性もあります。
JSON REST APIを無効化することは、XML-RPCを無効化することに似ており、多くのサイト管理者が安全のためにWordPressサイトで無効化している。
WordPressでJSON REST APIを簡単に無効化する2つの方法を紹介します。以下のクイックリンクから、使いたい方法にジャンプしてください。
方法1.WordPressのJSON REST APIをコードで無効化する(推奨)
WordPressのJSON REST APIを無効化するには、WPCodeプラグインを使用することをお勧めします。
WPCodeは、テーマのfunctions.phpファイルを編集することなく、WordPressでカスタムコードを安全かつ簡単に追加することができます。そのため、エラーを起こしてサイトを壊してしまうリスクはありません。
さらに、REST APIの無効化、XML-RPCの無効化など、一般的な機能要求に対する検証済みのコード・スニペットを含むビルトイン・コード・ライブラリが付属しています。これにより、個別プラグインを何個もインストールする必要がなくなります。
開始するには、無料のWPCodeプラグインをインストールし、有効化する必要があります。ステップバイステップの手順については、WordPressプラグインのインストール方法のガイドをお読みください。
注: WPCodeの無料版には、WordPressで簡単にカスタマイザーコードを追加するために必要なすべてがあります。しかし、プライベートクラウドスニペットライブラリ、ページや端末固有のスニペット、コードリビジョンなどの高度な機能が必要な場合は、WPCode Proにアップグレードすることができます。
プラグインを有効化したら、WordPressダッシュボードからCode Snippets ” Libraryに移動します。
次に、「Disable WordPress REST API」スニペットを検索し、「Use snippet」ボタンをクリックします。
プラグインは自動的にコードを追加し、適切な挿入方法を選択します。
必要なのは、スイッチを「非アクティブ」から「有効化」に切り替えることだけだ。
そして「更新」ボタンをクリックする。
これで完了です。これで、WordPressサイトでJSON REST APIが無効化されました。
方法2.WordPressのJSON REST APIをプラグインで無効化する。
専用のプラグインを使えば、JSON REST APIを簡単に無効化することもできる。
最初に行う必要があるのは、Disable REST APIプラグインをインストールして有効化することです。詳しくは、WordPressプラグインのインストール方法のステップバイステップガイドをご覧ください。
プラグインは箱から出してすぐに使えるし、設定することもない。
有効化した場合、プラグインはサイトにログインしていないソースからのAPIリクエストに対して強制的に認証エラーを返します。
これにより、REST APIを使用してサイトから情報を取得する不正なリクエストを効果的に防ぐことができます。
http://example.com/wp-json。WordPressの管理エリアからログアウトするか、ブラウザーをシークレットモードに切り替えてください。
example.comを自分のドメイン名に置き換えることをお忘れなく。このメッセージが表示され、REST APIリクエストがブロックされていることがわかります。
以上で、WordPressサイトで不正なREST APIリクエストを無効化することができました。
WordPress で JSON API を無効化する方法について、この投稿がお役に立てば幸いです。セキュリティに敏感なユーザーは、WordPress の管理エリアを保護するためのヒントをチェックしたり、WordPress のバックアップに最適なプラグインを選んだりすることもできます。
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
RJW
I’d try the disable plugin in Dev environment before production, I found installing it broke some features
WPBeginner Support
If you have many different plugins and tools and have a testing environment then it would definitely be good to test new plugins and how they interact with your site.
管理者
Ricky
Similar to an above commenter, I’ve noticed the “wp-json” request when using Pingdom and other testing sites. Unfortunately, mine takes over 10 seconds (Yes really!!) to load it. This pushes my overall website load time and I can’t figure out how to fix this. The plugin doesn’t change it at all. Any suggestions?
Janice
How do I know if I actually have JSON API on my website?
This article about removing it is good – if I need it – but I have often been alarmed by certain warnings only to find that they’ve not even applicable to me.
WPBeginner Support
Hey Janice,
If you are using a self-hosted WordPress.org site, then you do have JSON REST API available on your website.
管理者
Logan Cale
I hate adding yet another plugin to do a simple tasks, and I found that we can disable this functionality by adding the following code snippet to the functions.php file.
add_filter(‘rest_enabled’, ‘_return_false’);
add_filter(‘rest_jsonp_enabled’, ‘_return_false’);
Margarit Koka
Thank you bro, your answer is what I was looking when visiting this page.
Bobby C.
Thank you! Straight to the point.
Hari
I was looking for this code, it worked, thanks, I don’t prefer adding plugins.
Michael
Thanks for your help. There is no ‘add new’ option in my plugins.
WPBeginner Support
You are probably using WordPress.com. Please see our guide on the difference between self hosted WordPress.org vs free WordPress.com blog.
管理者
Lynne
Thank you! Spot on
worked for me
J.L.
Is this just for self hosted blogs or including free blog sites? Per mostly all plug ins…etc are done for you when you’re not self hosted
PS I’m not subscribing…just want a response
WPBeginner Support
This is for self hosted WordPress.org sites only.
管理者
Elaine
How can I check if my site has Rest API. I turned off a lot of extras when I first set it up but now don’t know where to look to see if it’s there. Not keen to download a plugin unnecessarily.
WPBeginner Support
Hey Elaine,
You can check if rest is api is enabled on your site by visiting the url like this example.com/wp-json. Make sure you are signed out of WordPress before doing that. If you see lots of information in plain text, then this means REST API is enabled on your site. Follow the above instructions to turn it off
管理者
Saransh Jain
What about the option to disable json rest api in Jetpack plugin?
Ken Dowling
Is disabling REST API suitable for e-commerce sites such as WooCommerce? My understanding is that WooCommerce uses REST-API quite a bit.
Further, my buyers do not have to login to buy, so what happens to the transaction when a REST API call is rejected?
Regards, Ken
D. Joe Chaffin
Plug-in makes no difference for me in WP 4.7.2. With the plugin activated or disabled, the example.com/wp-json (with my domain replacing “example”) pages gives a massive list of settings for my site.
D. Joe Chaffin
Hmmmm. Now that I look at it, I only see the list in Safari, while Chrome and Firefox for Mac show the expected message specified in this post.
WPBeginner Support
Hi,
Make sure you are logged out of WordPress admin area or use incognito mode before testing the example.com/wp-json page. The plugin disables access to the page only for unauthorized users. As an administrator you will still be able to see it.
管理者
D. Joe Chaffin
Embarrassed… You are right, of course.
Audra Carpenter
Hey Guys,
First off thanks so much for what you do! I’ve learned so much about Wordpress from you and sent a ton of folks your way!!
Ok, I installed the plugin, but I am not seeing what you suggest above? I have a full screen of information…?
Thoughts?
Thanks!
WPBeginner Support
Hi Audra,
Please logout or use incognito window to test. The plugin only disables access for non-logged in users.
管理者
Treasure
I followed these steps, but when I went to check it with the example etc., I got 2 pages of code, not the response showed above. Hmmm, don’t know what to do.
Treasure
Alright, I did it again and got the right message. Thanks!
Doug Nix
When I ran the test I think it failed, as I got a boatload of data on screen. Any idea what might have not worked? I installed the plugin as described…
Doug Nix
Works perfectly when I check using an incognito window. Thanks for the explanation regarding authorised vs unauthorised or anonymous users.
Laura Zielke
Worked perfectly. Thank you!
Karl
Thanks for the tip as well as for the hook to disable XMLRPC.
Is there a chance for a filter hook for the REST API as well?
Andrew
When I check the speed of my site using pingdom.com, the first html entry that tried to load shows the link as mydomain.com/wp-json and it has over 2 seconds of “wait” time. Is this the same as what this article is talking about? I’m hesitant to simply disable it since I would assume it will be used in the future. Any idea why it would add a 2+ second delay to loading anything on the page?
Stephen Cronin
Hmm, the REST API is going to become the standard way for plugins and themes to make Ajax calls back to the server from the front end, replacing admin-ajax, so I wouldn’t be disabling it… Hopefully they will fail gracefully, but you will almost end up missing some functionality.
Also, if you really want to protect against DDoS attacks, you better disable html as well!
reza
ver 50,000 WordPress websites have been hacked due to a major security vulnerability that was discovered in the WordPress REST API.
Jim S Smith
OUCH!
That’s disturbing to know. I have noticed a LOT of access attempts in my site’s logs.
What’s more,
I think the folks at WordPress could have done a little better in letting the users decide how much, if at all, they want the REST API exposed.
Again,
More of this, “The developers know MORE about the user’s needs than the user does!” – I also was not too happy about being forced to support EMOJI and remote-loaded fonts from fonts.google.com, even though my sites do not use them!
The REST API may be a boon for (some) actual web-application developers, but what about the rest of us who will not very likely use this? ? ?
Kasey
How likely is it that a plugin will be using this functionality. Just for example would contact forms be utilizing this? Not keen on turning it off in case it breaks anything.
WPBeginner Support
The plugins will most likely notify you if they will be using it and you have it turned off.
管理者