Я планирую улучшить безопасность моего сайта Wordpress, и при этом наткнулся на то, что WP REST API включен по умолчанию (начиная с WP 4.4, если я не ошибаюсь).
Какой безопасный способ его отключить?
Под "безопасным" здесь я подразумеваю, что он не вызывает неожиданных побочных эффектов, например, не нарушает другие функциональные возможности ядра WP.
Одним из возможных подходов было бы использование правил переписывания .htaccess
, но на удивление я не нашел никаких "официальных" инструкций по этому поводу.
Любая помощь или рекомендация очень ценится :)
Обновление: сторонние плагины - это не решение, которое я ищу. Хотя я знаю, что многие из них решают задачу, они включают в себя множество дополнительных функций, которые замедляют работу сайта. Я хотел бы надеяться, что есть решение в одну строку без дополнительных плагинов.
Обновление 2: Вот официальное мнение Wordpress: https://developer.wordpress.org/rest-api/using-the-rest-api/frequently-asked-questions/#can-i-isisable-the-rest- апи
В соответствии с этим, команда Wordpress хочет, чтобы будущая функциональность WP зависела от нового REST API. Это означает, что не существует гарантированного безопасного способа отключения REST API.
Давайте просто надеяться, что есть достаточно экспертов по безопасности, заботящихся о безопасности WP.
Обновление 3:
Обходной путь представлен в WordPress API Handbook - вы можете требовать аутентификацию для всех запросов
Это гарантирует, что анонимный доступ к REST API вашего сайта отключен, будут работать только аутентифицированные запросы.