WordPress REST API 是一個接口,前身是 WordPress 的一個插件,從 WordPress 4.7 版本起已集成到 WordPress 程序核心且默認(rèn)啟用,通過 REST API 特定路由任何人都可以訪問你 WordPress 網(wǎng)站的一些公共數(shù)據(jù)信息。

      據(jù) WordPress 介紹,REST API 使用 JSON 作為請求和響應(yīng)格式,提供可供任何客戶端匿名訪問的關(guān)于網(wǎng)站的公共數(shù)據(jù)以及僅在身份驗(yàn)證后可用的私有數(shù)據(jù)。REST API 接口在你的網(wǎng)站創(chuàng)建了一個可用的交互式 Web 服務(wù),任何其他第三方網(wǎng)站或移動應(yīng)用程序等可通過發(fā)送特定的 GET 請求來訪問網(wǎng)站 WordPress 數(shù)據(jù)庫并從中檢索網(wǎng)站的一些公共數(shù)據(jù)信息,包括用戶,類別,評論,文章,頁面,標(biāo)簽等,這些數(shù)據(jù)信息以 JSON 格式返回輸出。

      REST API 默認(rèn)啟用,可以在瀏覽器地址欄輸入 xxx.com/wp-json 然后回車,如果有數(shù)據(jù)返回,則說明當(dāng)前 WordPress 網(wǎng)站的 REST API 是開啟的,能夠直接訪問網(wǎng)站的相關(guān) JSON 數(shù)據(jù)。

      WordPress 提供的 REST API 參考 Endpoints 路由如下:

      將上面特定的 REST API 路由添加到 xxx.com/wp-json 這個 URL末尾,然后在瀏覽器地址欄中輸入訪問即可獲取 WordPress 網(wǎng)站對應(yīng)的公共數(shù)據(jù)信息,如果是公共 Endpoints,則發(fā)送請求訪問時不需要進(jìn)行身份驗(yàn)證,直接可獲取對應(yīng)的網(wǎng)站公共數(shù)據(jù),但如果是網(wǎng)站私有數(shù)據(jù)那么就需要進(jìn)行身份驗(yàn)證后才可以訪問。

      例如,通過上面 REST API 的 Users 路由便可以訪問獲取 WordPress 網(wǎng)站的用戶數(shù)據(jù)信息,具體來說:

      獲取網(wǎng)站所有用戶信息:xxx.com/wp-json/wp/v2/users

      獲取網(wǎng)站指定 ID 的用戶信息(如適用):xxx.com/wp-json/wp/v2/users/5

      可以看到,默認(rèn)情況下,通過 Users 路由能夠直接獲取 WordPress 網(wǎng)站的所有用戶信息(用戶名/郵箱),一定程度上這會增加網(wǎng)站遭受暴力攻擊的風(fēng)險(xiǎn),所以有必要將其禁用掉,

      WordPress 安全插件 Wordfence 的一個功能便是可以防止通過 “/?author=N” 掃描、oEmbed API、WordPress REST API 和 WordPress XML 站點(diǎn)地圖來發(fā)現(xiàn)網(wǎng)站用戶名信息,勾選啟用后即可禁用 REST API 的 Users 路由以防止未授權(quán)的請求獲取網(wǎng)站的用戶名信息。

      或者也可以直接通過添加代碼的方式來限制對 REST API 的訪問,

      在主題的 functions.php 文件末尾添加代碼,然后點(diǎn)擊 Update File 保存更改,

      但需要注意的是,完全禁用 REST API 可能會使得某些插件和主題功能受到影響,無法正常使用。


      點(diǎn)贊(1) 打賞

      評論列表 共有 0 條評論

      暫無評論

      服務(wù)號

      訂閱號

      備注【拉群】

      商務(wù)洽談

      微信聯(lián)系站長

      發(fā)表
      評論
      立即
      投稿
      返回
      頂部