【WordPress】REST APIは便利で危険な標準機能！？

こんな記事を書きながら、私も全くといっていいほどREST APIについては無知の状態ですので参考程度に読んでいただければと思います。

私がREST APIを知ったのは、このサイトを階層化して運営しようと考えているときのことでした。

階層化というのは、ドメインのルートにメインのWordpresssサイトを設置し、ジャンル別にサブディレクトリで別のWordpressサイトを作るもの。平たく言うとメインのポータルサイト＋テーマ別の子サイトを作ろうというわけ。

WordPressにはマルチサイトという機能があるのはご存知かと思いますが、マルチサイトだと同一のデータベースに複数のWordpressのデータを格納することになるので、これを使って分ける意味があるのか？？と個人的には考えています。多分それぞれのサイトのアクセス数が上がってくるとデータベースが火を噴いてアクセス不可、表示速度の低下につながることが考えられるからです。

そうなると複数のデータベースを作ってそれぞれのサイトを独立運用することになるのですが、ここで問題が・・・それはポータルサイトへどうやってそれぞれのサイトの新着記事を表示するのかということ。

単純にRSSを使えば表示は可能ですが、キャッシュを使うので時間差が生じてしまうことからちょっと使いにくいですよね？

そこでいろいろ調べているうちにREST APIというのを知ったというのが経緯です。

WordPressのバージョン4.7から特に何もしなくてもREST APIが利用できるようになったそうですが、すぐに4.7.1がリリースされたの覚えてます？？とんでもない脆弱性が発見されたということで更新されたのですが、実はこのアップデートはREST APIでいらん情報まで簡単に読み取れてしまうというものだったようです。

REST APIの便利なところ・危険なところ

公式の解説ページである

developer.wordpress.org

 

17 users

REST API Handbook | WordPress Developer Resources

https://developer.wordpress.org/rest-api/

によると、特にログインすることもなく、データベースに接続することもなくいろいろな情報が外部から読み取れるようになっているようです。

便利なのはこれを使って他のサイトの新着記事などを表示できること。前述したポータルサイト化するにはもってこいの機能だと思いました。

が、問題が・・・。

実際にいろいろな参考サイトを見てリスト表示してみたらちゃんと動作しました。でも・・・これってどこのドメインからでもできちゃうんじゃないの？？ということで実験してみたら・・・見事に読み取ることができました（泣）。これ悪用しようと思ったらいくらでもできちゃうでしょ！！という結論に達しました。世の中いい人ばかりではありませんからね。

いくつかのサイトで同一ドメイン内でないと動作しないなんて書いてありましたが、実際にできてしまったのでこの方法は却下です（ひょっとしたら同一サーバー内ということなのかも知れませんが、そちらも同様にできちゃいましたからそういうことでもないようです）。

そうなると冒頭のリスト表示という問題ではなくREST APIってどうよ？？というところへ行ってしまいました（またまた脱線です）。

そこでREST APIを無効にする方法を試してみました。

REST APIを無効にすると・・・

REST APIを無効にする方法もたくさんのサイトで紹介されていますし、プラグインも多数存在します（REST APIで検索するといっぱい出てきます）。

興味深かったのは

寝ログ

 

9 tweets

5 users

WordPressのREST APIを無効化しつつ特定プラグインは動作するようにカスタマイズす...

https://nelog.jp/deny-restapi-except-plugins

REST APIを無効にしていたら、JetpackやContact Form 7が使えなくなってしまった…なんて場合の対処方法です。REST APIは無効化したまま利用したいプラグインのみをホワイトリスト方式で指定できます。

の記事。さすがSimplicity2作者のわいひらさんです。無下にREST APIを無効にすると不具合が出るということと、それを解消する対処方法が書かれています。本当にさすが！！ですね。

ただここに掲載されているプラグインなどだけを使っているわけではないのでコピペすれば大丈夫！！ということもなさそうですから、どんなことにREST APIが使われているのかを調べる必要があります。

それができるのが

Knowledge Base

REST APIのリクエストとレスポンスを記録するためのプラグイン「REST API Log」

https://www.momosiri.info/wppi/wp-rest-api-log/

プラグインの紹介記事書いといてアレなんですが、実はREST APIについて私もよく知りません。によるとREST APIはWordpressサイト内のさまざまな情報を他のサイトなどで利用できるようにするアプリケーション用データで、最新バージョンではこのREST APIを使うためのJS...

というプラグイン。いろいろ調べましたがログが取れるのはこのプラグインだけのようです。

しばらくこれを使って記録を取り、本当に除外すべきだけ適用させれば盤石ですね。

• 記事の作者: ひまあーと（管理人）

---

• ☆最後までお読みいただきありがとうございました。記事作者のひまあーとです。
  ☆Wordpressでサイトをカスタマイズしていく上で有用な情報を配信しつつ、「ココナラ」でサイトカスタマイズのお手伝い、不具合の修復、サイト引っ越し代行などをさせていただいております。
  ☆Wordpressネタが多いですが、趣味の「園芸」「卓球」などの情報や日々の出来事などもどんどん増やしていきますのでよろしくお願いいたします。

---

• 作者の記事一覧はこちら

いつでもご相談・サイトカスタマイズの依頼を受け付けています

Wordpressのカスタマイズ、不具合解消のご相談はすべてココナラのダイレクトメッセージからお受けしております。まずはこちらのバナーからお気軽にお問い合わせください。

※一度もココナラを使ったことがない方はココナラへの無料登録が必要です。こちらから登録後、上のリンクをクリックする、またはココナラトップページから「ひまあーと」を検索してお問い合わせください。

記事の拡散にご協力をお願いします

閲覧いただきありがとうございました。役に立つ情報でしたら是非SNSでシェアをお願いします

CSSを使ったサイトのデザイン変更はブラウザの基本機能で簡単にできる（WordPress　×　GoogleChrome）

私のスキルが上がっているのか、最初からそうだったのか不明ですが、ちょっとしたデザイン変更だったら案外簡単に行うことができることが分かりました。もちろんCSSを触るのは素人ですから素人なりに基礎的な部分を紹介できたらと思います。

WordPressでアップロードした翻訳ファイルがいつの間にか元の翻訳内容に書き換わってしまうときの対処

時折「プラグインの翻訳ファイルを適用して快適に使えたのですがある日突然元にもどってしまいました・・・」なんていう問い合わせをいただき、都度返事を書かせていただきながら対処しています。でもこれではいたちごっこでしょ！ということで根本的な対処方法を模索し、一定の結論を得ましたので紹介します。

WordPressバージョン4.9.8の更新通知でダッシュボードに表示されるのは・・・新しいエディタの説明でした。

Wordpressの4.9.8マイナーアップデート通知後ダッシュボードに表示される大きな枠、結構大事なことが書かれていましたが読みましたか？？もう閉じちゃったという方のために何が書いてあったのか？どうすればいいかを紹介します。