超現場ブログ

BLOG

WordPressのRESTAPIでユーザー名を取得できないようにしておく

WordPress 4.7以降、デフォルトでRESTAPIが利用できるようになりました。
※すでに最新はWordPress5.2となっておりますが

WP RESTAPI

何もしていなければ、お使いのWordPressのサイトのURLにJSON形式にデータが取得できちゃいます。

ドメイン名/wp-json/wp/v2/

これまで作ってみたWordPressのサイトで確認してみましょう。
投稿情報、固定ページ情報、ユーザー情報などもURLを指定するだけで簡単に見ることができます。見るだけではなく、追加・更新・削除なども。
※古いバージョンのWordPressであれば404エラーなどになるかと思いますが、それはそれでまた別の問題がありますね。

以下はAkrosのブログ記事をWPRestAPI+Vue+axiosで作成したサンプルです。
※cssは省略
※CORS(Cross-Origin Resource Sharing)対応も省略
対策しておけば別ドメインからでも上記を呼び出せます。
https://akros-ac.jp/ueno/rest_test/

Vue
https://jp.vuejs.org/index.html

axios
https://github.com/axios/axios

実はRESTAPI化されていることにも気が付いていない方もまだまだいらっしゃるのではないでしょうか?
例えば、WordPressのログインユーザー名も一覧で取得できちゃうことも。

ドメイン名/wp-json/wp/v2/users

ログインのセキュリティ対策をしていればよいかと思いますが、ユーザー情報を見せていないサイトを構築している方にとってはあまり見せたくない情報かもしれませんね。

WPRESTAPI自体を無効にすることもできますが、プラグインなどもWPRESTAPIを利用し始めているため、すべてをOFFにすると使えなくなってしまうプラグインなども出てきてしまいます。
JetPackやContactForm7、そのほかgutenbergなども。

直接functions.phpにPHPを記載して、RESTAPIを無効化したり、プラグインだけ許可したり対応することもできますが、
とりあえずはサクッと最低限、ユーザー情報にはアクセスできないようにしたいですよね。

ということで、いくつかプラグインはありますが、

XO Security
https://ja.wordpress.org/plugins/xo-security/
というプラグインを使用すると、簡単にユーザー情報だけを取得できなくすることができます。

当スクールでも対策しました。
ユーザー情報は取得できなくなっています。
https://akros-ac.jp/wp-json/wp/v2/users

こちらのプラグインは他にも基本的なWordPressのセキュリティ対策を実施することができるので、
SiteGuardWPPluginといったセキュリティプラグインの導入と併せてご検討してみてください。

Akrosはマンツーマンのプロ講座で未経験の方も含めて基本から最近の開発手法、実際の現場で必要な技術を学ぶことができます。
今回紹介されていないデザイン技術、作成方法も学べます。ぜひ一度体験・カウンセリングにお越しください。
1人1人に沿ったカリキュラムをご提案させていただきます。

無料体験・カウンセリング


CONTACT

お問合せ

体験お申込み・資料請求・ご質問・
ご相談はこちらから

受付専用フリーダイヤル

フリーダイヤル 0120-941-071

受付時間:10:00〜18:00 (土日祝定休)

Akrosでは、受講生と一緒に成長したい仲間を募集しています