restapi是个好东西,特别在我们做一些js项目,或者做wordpress的APP小程序的时候,经常会用到。但是它也有很大的安全问题,这不某网站收到了网监通报,“http://域名/wp-json/wp/v2/users”,中泄露了管理员用户名,赶紧修复,最简单的思路是对未登录用户,禁止访问restapi。

// 禁止未登录用户访问 REST API
function restrict_rest_api() {
   if ( is_user_logged_in() ) {
      return;
   } else {
      wp_die( '对不起,您没有权限访问该内容。' );
   }
}
add_action( 'rest_api_init', 'restrict_rest_api' );

添加以上代码至 functions.php 文件:将以下代码添加到当前使用的主题的 functions.php 文件中:

当然,还有更简单的解决方案,就是下载“"Disable REST API”插件来禁用 REST API。安装并在 WordPress 后台启用该插件后,未登录用户将无法访问 REST API。

此作者没有提供个人介绍。
最后更新于 2023-06-28