欢迎光临
我们一直在努力
        找回密码
当前位置:WORDPRESS大侠 wordpress教程 正文

WordPress限制或禁用REST API

2025-10-08 来源:代码狗 分类:wordpress教程 阅读() 评论(0)

REST API是WordPress提供的一套api,为什么要禁用它?当然是它泄露数据啦!在网站 URL 末尾添加
/wp-json/wp/v2/users,就可以列出所有注册用户!甚至有些爬虫都不爬前端,直接使用REST API获取你的网站内容,还能避免各种样式广告等造成的解析问题。

直接禁用,只需要在functions.php文件中添加如下代码即可。

add_filter( 'rest_authentication_errors', 'dmd_turn_off_rest_api' );

function dmd_turn_off_rest_api( $errors ) {

	// if there is already an error, just return it
	if( is_wp_error( $errors ) ) {
		return $errors;
	}

	// return WP_Error object
	return new WP_Error( 'no_rest_api_sorry', 'REST API not allowed', array( 'status' => 401 ) );

	return $errors;

}

如果你使用了Gutenberg编辑器,你会发现编辑文章时会报错,因为Gutenberg编辑器使用的就是REST API实现的编辑文章功能,所以禁用它并不是最佳方案。

你可以为REST API增加权限检查,只允许登录用户或者管理员访问,使用如下代码

add_filter( 'rest_authentication_errors', 'dmd_turn_off_rest_api_not_logged_in' );

function dmd_turn_off_rest_api_not_logged_in( $errors ) {

	// if there is already an error, just return it
	if( is_wp_error( $errors ) ) {
		return $errors;
	}

	if( ! is_user_logged_in() ) {
		// return WP_Error object if user is not logged in
		return new WP_Error( 'no_rest_api_sorry', 'REST API not allowed', array( 'status' => 401 ) );
	}

	return $errors;

}

管理员可用

add_filter( 'rest_authentication_errors', 'dmd_turn_off_rest_api_not_logged_in' );

function dmd_turn_off_rest_api_not_logged_in( $errors ) {

	// if there is already an error, just return it
	if( is_wp_error( $errors ) ) {
		return $errors;
	}

	if( ! current_user_can( 'administrator' ) ) {
	// disable REST API for everyone except administrators
	return new WP_Error( 'no_rest_api_sorry', 'REST API not allowed', array( 'status' => 401 ) );
      }

	return $errors;

}

使用IP白名单限制

add_filter( 'rest_authentication_errors', 'dmd_allow_rest_api_for_ip' );

function dmd_allow_rest_api_for_ip( $errors ) {

	// if there is already an error, just return it
	if( is_wp_error( $errors ) ) {
		return $errors;
	}

	$whitelist = array( 
		'37.33.184.198',
		'62.74.24.234',
		// etc
	);

	if( ! in_array( $_SERVER[ 'REMOTE_ADDR' ], $whitelist ) ){
		// return WP_Error object if user is not logged in
		return new WP_Error( 'no_rest_api_sorry', 'REST API not allowed', array( 'status' => 401 ) );
	}

	return $errors;

}

以上方法被禁止访问,返回的是json数据,你也可以改成404页面,将返回的wp_error更换为如下代码即可。

header( 'Content-Type: text/html; charset=UTF-8' );
status_header( 404 );
nocache_headers();
require( dirname( __FILE__ ) . '/404.php' );
die;

当然还有更好的办法,将REST API路径给修改了,这样既不会影响WordPress系统运行,也不会阻止任何用户使用,前提是知道URL。

add_filter( 'rest_url_prefix', 'dmd_custom_rest_api_url' );

function dmd_custom_rest_api_url() {
	return 'api';
}

推荐使用最后一种方法,但如果你的网站是单机版,不需要用户,直接禁用最佳。

赞(0) 打赏
未经允许不得转载:WORDPRESS大侠 » WordPress限制或禁用REST API
分享到

admin

人生短短几十年,不要给自己留下了什么遗憾,想笑就笑,想哭就哭,一件事,就算再美好,一旦没有结果,就不要再纠缠,久了你会倦,会累;一个人,就算再留念,如果你抓不住,就要适时放手久了你会神伤会心碎

相关推荐

评论 抢沙发

评论前必须登录!

 

作者介绍

admin

人生短短几十年,不要给自己留下了什么遗憾,想笑就笑,想哭就哭,一件事,就算再美好,一旦没有结果,就不要再纠缠,久了你会倦,会累;一个人,就算再留念,如果你抓不住,就要适时放手久了你会神伤会心碎

  1. 439文章总数
  2. 1.1万阅读总数
  3. 4点赞总数
阅读作者的全部文章

可爱的狗狗

个人名片

秀主题

Ansel·lee

wp侠  发布wordpress教程

1059888802@qq.com

认证作者

知我者谓我心忧,不知我者谓 何求,悠悠苍天,此何人哉?

热门文章

网站统计

  • 日志总数:439
  • 评论总数:6
  • 标签总数:332
  • 页面总数:6
  • 分类总数:6
  • 链接总数:0
  • 用户总数:1
  • 最后更新:2025-10-13

活跃读者

    最新评论

    热门标签

    wordpress(87)wordpress函数(42)WordPress开发(41)wordpress教程(31)wordpress后台(20)wordpress博客主题(19)博客主题(18)精品主题(13)自定义字段(11)WooCommerce(11)wordpress技巧(10)微软(8)免费主题(7)wordpress企业主题(7)wordpress功能增强(6)wordpress图片主题(6)wordpress更新(6)简洁主题(6)Windows11(6)wordpress cms主题(6)自媒体主题(5)wordpress seo(5)wordpress分页(5)响应式主题(4)wordpress简洁主题(4)用户注册(4)WordPress文章(4)媒体文件(4)DeepSeek(4)Edge浏览器(4)

    更好的WordPress主题

    支持快讯、专题、百度收录推送、人机验证、多级分类筛选器,适用于垂直站点、科技博客、个人站,扁平化设计、简洁白色、超多功能配置、会员中心、直达链接、文章图片弹窗、自动缩略图等...

    联系我们联系我们

    觉得文章有用就打赏一下文章作者

    非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

    支付宝扫一扫

    微信扫一扫

    登录

    找回密码

    注册