【WordPress】REST APIは便利で危険な標準機能！？

こんな記事を書きながら、私も全くといっていいほどREST APIについては無知の状態ですので参考程度に読んでいただければと思います。

私がREST APIを知ったのは、このサイトを階層化して運営しようと考えているときのことでした。

階層化というのは、ドメインのルートにメインのWordpresssサイトを設置し、ジャンル別にサブディレクトリで別のWordpressサイトを作るもの。平たく言うとメインのポータルサイト＋テーマ別の子サイトを作ろうというわけ。

WordPressにはマルチサイトという機能があるのはご存知かと思いますが、マルチサイトだと同一のデータベースに複数のWordpressのデータを格納することになるので、これを使って分ける意味があるのか？？と個人的には考えています。多分それぞれのサイトのアクセス数が上がってくるとデータベースが火を噴いてアクセス不可、表示速度の低下につながることが考えられるからです。

そうなると複数のデータベースを作ってそれぞれのサイトを独立運用することになるのですが、ここで問題が・・・それはポータルサイトへどうやってそれぞれのサイトの新着記事を表示するのかということ。

単純にRSSを使えば表示は可能ですが、キャッシュを使うので時間差が生じてしまうことからちょっと使いにくいですよね？

そこでいろいろ調べているうちにREST APIというのを知ったというのが経緯です。

WordPressのバージョン4.7から特に何もしなくてもREST APIが利用できるようになったそうですが、すぐに4.7.1がリリースされたの覚えてます？？とんでもない脆弱性が発見されたということで更新されたのですが、実はこのアップデートはREST APIでいらん情報まで簡単に読み取れてしまうというものだったようです。

REST APIの便利なところ・危険なところ

公式の解説ページである

developer.wordpress.org

 

39 users

REST API Handbook | WordPress Developer Resources

https://developer.wordpress.org/rest-api/

によると、特にログインすることもなく、データベースに接続することもなくいろいろな情報が外部から読み取れるようになっているようです。

便利なのはこれを使って他のサイトの新着記事などを表示できること。前述したポータルサイト化するにはもってこいの機能だと思いました。

が、問題が・・・。

実際にいろいろな参考サイトを見てリスト表示してみたらちゃんと動作しました。でも・・・これってどこのドメインからでもできちゃうんじゃないの？？ということで実験してみたら・・・見事に読み取ることができました（泣）。これ悪用しようと思ったらいくらでもできちゃうでしょ！！という結論に達しました。世の中いい人ばかりではありませんからね。

いくつかのサイトで同一ドメイン内でないと動作しないなんて書いてありましたが、実際にできてしまったのでこの方法は却下です（ひょっとしたら同一サーバー内ということなのかも知れませんが、そちらも同様にできちゃいましたからそういうことでもないようです）。

そうなると冒頭のリスト表示という問題ではなくREST APIってどうよ？？というところへ行ってしまいました（またまた脱線です）。

そこでREST APIを無効にする方法を試してみました。

REST APIを無効にすると・・・

REST APIを無効にする方法もたくさんのサイトで紹介されていますし、プラグインも多数存在します（REST APIで検索するといっぱい出てきます）。

興味深かったのは

寝ログ

 

9 tweets

5 users

WordPressのREST APIを無効化しつつ特定プラグインは動作するようにカスタマイズす...

https://nelog.jp/deny-restapi-except-plugins

REST APIを無効にしていたら、JetpackやContact Form 7が使えなくなってしまった…なんて場合の対処方法です。REST APIは無効化したまま利用したいプラグインのみをホワイトリスト方式で指定できます。

の記事。さすがSimplicity2作者のわいひらさんです。無下にREST APIを無効にすると不具合が出るということと、それを解消する対処方法が書かれています。本当にさすが！！ですね。

ただここに掲載されているプラグインなどだけを使っているわけではないのでコピペすれば大丈夫！！ということもなさそうですから、どんなことにREST APIが使われているのかを調べる必要があります。

それができるのが

Knowledge Base

REST APIのリクエストとレスポンスを記録するためのプラグイン「REST API Log」

https://www.momosiri.info/wppi/wp-rest-api-log/

プラグインの紹介記事書いといてアレなんですが、実はREST APIについて私もよく知りません。によるとREST APIはWordpressサイト内のさまざまな情報を他のサイトなどで利用できるようにするアプリケーション用データで、最新バージョンではこのREST APIを使うためのJS...

というプラグイン。いろいろ調べましたがログが取れるのはこのプラグインだけのようです。

しばらくこれを使って記録を取り、本当に除外すべきだけ適用させれば盤石ですね。

• 記事の作者: ひまあーと（管理人）

---

• ☆最後までお読みいただきありがとうございました。記事作者のひまあーとです。
  ☆Wordpressでサイトをカスタマイズしていく上で有用な情報を配信しつつ、「ココナラ」でサイトカスタマイズのお手伝い、不具合の修復、サイト引っ越し代行などをさせていただいております。
  ☆Wordpressネタが多いですが、趣味の「園芸」「卓球」などの情報や日々の出来事などもどんどん増やしていきますのでよろしくお願いいたします。

---

• 作者の記事一覧はこちら

いつでもご相談・サイトカスタマイズの依頼を受け付けています

Wordpressのカスタマイズ、不具合解消のご相談はすべてココナラのダイレクトメッセージからお受けしております。まずはこちらのバナーからお気軽にお問い合わせください。

※一度もココナラを使ったことがない方はココナラへの無料登録が必要です。こちらから登録後、上のリンクをクリックする、またはココナラトップページから「ひまあーと」を検索してお問い合わせください。

記事の拡散にご協力をお願いします

閲覧いただきありがとうございました。役に立つ情報でしたら是非SNSでシェアをお願いします

【WordPress】「Parse error:・・・」が出てサイトも管理画面も表示されないときの対処

Wordpressでプラグインの導入やテーマの変更、テーマの編集などをしていて頭が真っ白になるのが、頭と同様に画面が真っ白になる現象と、今回紹介する「Parse error:・・・」という文字だけが表示される現象。この不具合の意味と簡単に解消する対処方法を紹介します

【WordPress】テーマのfunctions.php編集に失敗して画面が真っ白になったときの対応

テーマやプラグインの充実でカスタマイズ性の高いCMSツールWordpress。でも、プラグインを新規導入したら、テーマのファイルをちょっと変更してみたらいきなり画面が真っ白になった経験ありませんか？今回はテーマのFunctions.php編集に失敗した際の対処方法を紹介します。

WordPressのサイトで使うと危険なユーザー名

実際のログイン失敗ログとして数多くあるものを紹介していますから、想像の情報ではありません。これから挙げるユーザー名と番外編として掲載している（危険になるWordpressの基本設定）については最低限対応したいところです。