WordPress REST API 是一個接口，前身是 WordPress 的一個插件，從 WordPress 4.7 版本起已集成到 WordPress 程序核心且默認啟用，通過 REST API 特定路由任何人都可以訪問你 WordPress 網(wǎng)站的一些公共數(shù)據(jù)信息。

據(jù) WordPress 介紹，REST API 使用 JSON 作為請求和響應(yīng)格式，提供可供任何客戶端匿名訪問的關(guān)于網(wǎng)站的公共數(shù)據(jù)以及僅在身份驗證后可用的私有數(shù)據(jù)。REST API 接口在你的網(wǎng)站創(chuàng)建了一個可用的交互式 Web 服務(wù)，任何其他第三方網(wǎng)站或移動應(yīng)用程序等可通過發(fā)送特定的 GET 請求來訪問網(wǎng)站 WordPress 數(shù)據(jù)庫并從中檢索網(wǎng)站的一些公共數(shù)據(jù)信息，包括用戶，類別，評論，文章，頁面，標簽等，這些數(shù)據(jù)信息以 JSON 格式返回輸出。

REST API 默認啟用，可以在瀏覽器地址欄輸入 xxx.com/wp-json 然后回車，如果有數(shù)據(jù)返回，則說明當前 WordPress 網(wǎng)站的 REST API 是開啟的，能夠直接訪問網(wǎng)站的相關(guān) JSON 數(shù)據(jù)。

WordPress 提供的 REST API 參考 Endpoints 路由如下：

將上面特定的 REST API 路由添加到 xxx.com/wp-json 這個 URL末尾，然后在瀏覽器地址欄中輸入訪問即可獲取 WordPress 網(wǎng)站對應(yīng)的公共數(shù)據(jù)信息，如果是公共 Endpoints，則發(fā)送請求訪問時不需要進行身份驗證，直接可獲取對應(yīng)的網(wǎng)站公共數(shù)據(jù)，但如果是網(wǎng)站私有數(shù)據(jù)那么就需要進行身份驗證后才可以訪問。

例如，通過上面 REST API 的 Users 路由便可以訪問獲取 WordPress 網(wǎng)站的用戶數(shù)據(jù)信息，具體來說：

獲取網(wǎng)站所有用戶信息：xxx.com/wp-json/wp/v2/users

獲取網(wǎng)站指定 ID 的用戶信息（如適用）：xxx.com/wp-json/wp/v2/users/5

可以看到，默認情況下，通過 Users 路由能夠直接獲取 WordPress 網(wǎng)站的所有用戶信息（用戶名/郵箱），一定程度上這會增加網(wǎng)站遭受暴力攻擊的風險，所以有必要將其禁用掉，

WordPress 安全插件 Wordfence 的一個功能便是可以防止通過 “/?author=N” 掃描、oEmbed API、WordPress REST API 和 WordPress XML 站點地圖來發(fā)現(xiàn)網(wǎng)站用戶名信息，勾選啟用后即可禁用 REST API 的 Users 路由以防止未授權(quán)的請求獲取網(wǎng)站的用戶名信息。

或者也可以直接通過添加代碼的方式來限制對 REST API 的訪問，

在主題的 functions.php 文件末尾添加代碼，然后點擊 Update File 保存更改，

但需要注意的是，完全禁用 REST API 可能會使得某些插件和主題功能受到影響，無法正常使用。