WordPress REST API 是一個(gè)接口，前身是 WordPress 的一個(gè)插件，從 WordPress 4.7 版本起已集成到 WordPress 程序核心且默認(rèn)啟用，通過(guò) REST API 特定路由任何人都可以訪(fǎng)問(wèn)你 WordPress 網(wǎng)站的一些公共數(shù)據(jù)信息。

據(jù) WordPress 介紹，REST API 使用 JSON 作為請(qǐng)求和響應(yīng)格式，提供可供任何客戶(hù)端匿名訪(fǎng)問(wèn)的關(guān)于網(wǎng)站的公共數(shù)據(jù)以及僅在身份驗(yàn)證后可用的私有數(shù)據(jù)。REST API 接口在你的網(wǎng)站創(chuàng)建了一個(gè)可用的交互式 Web 服務(wù)，任何其他第三方網(wǎng)站或移動(dòng)應(yīng)用程序等可通過(guò)發(fā)送特定的 GET 請(qǐng)求來(lái)訪(fǎng)問(wèn)網(wǎng)站 WordPress 數(shù)據(jù)庫(kù)并從中檢索網(wǎng)站的一些公共數(shù)據(jù)信息，包括用戶(hù)，類(lèi)別，評(píng)論，文章，頁(yè)面，標(biāo)簽等，這些數(shù)據(jù)信息以 JSON 格式返回輸出。

REST API 默認(rèn)啟用，可以在瀏覽器地址欄輸入 xxx.com/wp-json 然后回車(chē)，如果有數(shù)據(jù)返回，則說(shuō)明當(dāng)前 WordPress 網(wǎng)站的 REST API 是開(kāi)啟的，能夠直接訪(fǎng)問(wèn)網(wǎng)站的相關(guān) JSON 數(shù)據(jù)。

WordPress 提供的 REST API 參考 Endpoints 路由如下：

將上面特定的 REST API 路由添加到 xxx.com/wp-json 這個(gè) URL末尾，然后在瀏覽器地址欄中輸入訪(fǎng)問(wèn)即可獲取 WordPress 網(wǎng)站對(duì)應(yīng)的公共數(shù)據(jù)信息，如果是公共 Endpoints，則發(fā)送請(qǐng)求訪(fǎng)問(wèn)時(shí)不需要進(jìn)行身份驗(yàn)證，直接可獲取對(duì)應(yīng)的網(wǎng)站公共數(shù)據(jù)，但如果是網(wǎng)站私有數(shù)據(jù)那么就需要進(jìn)行身份驗(yàn)證后才可以訪(fǎng)問(wèn)。

例如，通過(guò)上面 REST API 的 Users 路由便可以訪(fǎng)問(wèn)獲取 WordPress 網(wǎng)站的用戶(hù)數(shù)據(jù)信息，具體來(lái)說(shuō)：

獲取網(wǎng)站所有用戶(hù)信息：xxx.com/wp-json/wp/v2/users

獲取網(wǎng)站指定 ID 的用戶(hù)信息（如適用）：xxx.com/wp-json/wp/v2/users/5

可以看到，默認(rèn)情況下，通過(guò) Users 路由能夠直接獲取 WordPress 網(wǎng)站的所有用戶(hù)信息（用戶(hù)名/郵箱），一定程度上這會(huì)增加網(wǎng)站遭受暴力攻擊的風(fēng)險(xiǎn)，所以有必要將其禁用掉，

WordPress 安全插件 Wordfence 的一個(gè)功能便是可以防止通過(guò) “/?author=N” 掃描、oEmbed API、WordPress REST API 和 WordPress XML 站點(diǎn)地圖來(lái)發(fā)現(xiàn)網(wǎng)站用戶(hù)名信息，勾選啟用后即可禁用 REST API 的 Users 路由以防止未授權(quán)的請(qǐng)求獲取網(wǎng)站的用戶(hù)名信息。

或者也可以直接通過(guò)添加代碼的方式來(lái)限制對(duì) REST API 的訪(fǎng)問(wèn)，

在主題的 functions.php 文件末尾添加代碼，然后點(diǎn)擊 Update File 保存更改，

但需要注意的是，完全禁用 REST API 可能會(huì)使得某些插件和主題功能受到影響，無(wú)法正常使用。