【WordPress】REST APIは便利で危険な標準機能！？

こんな記事を書きながら、私も全くといっていいほどREST APIについては無知の状態ですので参考程度に読んでいただければと思います。

私がREST APIを知ったのは、このサイトを階層化して運営しようと考えているときのことでした。

階層化というのは、ドメインのルートにメインのWordpresssサイトを設置し、ジャンル別にサブディレクトリで別のWordpressサイトを作るもの。平たく言うとメインのポータルサイト＋テーマ別の子サイトを作ろうというわけ。

WordPressにはマルチサイトという機能があるのはご存知かと思いますが、マルチサイトだと同一のデータベースに複数のWordpressのデータを格納することになるので、これを使って分ける意味があるのか？？と個人的には考えています。多分それぞれのサイトのアクセス数が上がってくるとデータベースが火を噴いてアクセス不可、表示速度の低下につながることが考えられるからです。

そうなると複数のデータベースを作ってそれぞれのサイトを独立運用することになるのですが、ここで問題が・・・それはポータルサイトへどうやってそれぞれのサイトの新着記事を表示するのかということ。

単純にRSSを使えば表示は可能ですが、キャッシュを使うので時間差が生じてしまうことからちょっと使いにくいですよね？

そこでいろいろ調べているうちにREST APIというのを知ったというのが経緯です。

WordPressのバージョン4.7から特に何もしなくてもREST APIが利用できるようになったそうですが、すぐに4.7.1がリリースされたの覚えてます？？とんでもない脆弱性が発見されたということで更新されたのですが、実はこのアップデートはREST APIでいらん情報まで簡単に読み取れてしまうというものだったようです。

REST APIの便利なところ・危険なところ

公式の解説ページである

developer.wordpress.org

 

17 users

REST API Handbook | WordPress Developer Resources

https://developer.wordpress.org/rest-api/

によると、特にログインすることもなく、データベースに接続することもなくいろいろな情報が外部から読み取れるようになっているようです。

便利なのはこれを使って他のサイトの新着記事などを表示できること。前述したポータルサイト化するにはもってこいの機能だと思いました。

が、問題が・・・。

実際にいろいろな参考サイトを見てリスト表示してみたらちゃんと動作しました。でも・・・これってどこのドメインからでもできちゃうんじゃないの？？ということで実験してみたら・・・見事に読み取ることができました（泣）。これ悪用しようと思ったらいくらでもできちゃうでしょ！！という結論に達しました。世の中いい人ばかりではありませんからね。

いくつかのサイトで同一ドメイン内でないと動作しないなんて書いてありましたが、実際にできてしまったのでこの方法は却下です（ひょっとしたら同一サーバー内ということなのかも知れませんが、そちらも同様にできちゃいましたからそういうことでもないようです）。

そうなると冒頭のリスト表示という問題ではなくREST APIってどうよ？？というところへ行ってしまいました（またまた脱線です）。

そこでREST APIを無効にする方法を試してみました。

REST APIを無効にすると・・・

REST APIを無効にする方法もたくさんのサイトで紹介されていますし、プラグインも多数存在します（REST APIで検索するといっぱい出てきます）。

興味深かったのは

寝ログ

 

9 tweets

5 users

WordPressのREST APIを無効化しつつ特定プラグインは動作するようにカスタマイズす...

https://nelog.jp/deny-restapi-except-plugins

REST APIを無効にしていたら、JetpackやContact Form 7が使えなくなってしまった…なんて場合の対処方法です。REST APIは無効化したまま利用したいプラグインのみをホワイトリスト方式で指定できます。

の記事。さすがSimplicity2作者のわいひらさんです。無下にREST APIを無効にすると不具合が出るということと、それを解消する対処方法が書かれています。本当にさすが！！ですね。

ただここに掲載されているプラグインなどだけを使っているわけではないのでコピペすれば大丈夫！！ということもなさそうですから、どんなことにREST APIが使われているのかを調べる必要があります。

それができるのが

Knowledge Base

REST APIのリクエストとレスポンスを記録するためのプラグイン「REST API Log」

https://www.momosiri.info/wppi/wp-rest-api-log/

プラグインの紹介記事書いといてアレなんですが、実はREST APIについて私もよく知りません。によるとREST APIはWordpressサイト内のさまざまな情報を他のサイトなどで利用できるようにするアプリケーション用データで、最新バージョンではこのREST APIを使うためのJS...

というプラグイン。いろいろ調べましたがログが取れるのはこのプラグインだけのようです。

しばらくこれを使って記録を取り、本当に除外すべきだけ適用させれば盤石ですね。

• 記事の作者: ひまあーと（管理人）

---

• ☆最後までお読みいただきありがとうございました。記事作者のひまあーとです。
  ☆Wordpressでサイトをカスタマイズしていく上で有用な情報を配信しつつ、「ココナラ」でサイトカスタマイズのお手伝い、不具合の修復、サイト引っ越し代行などをさせていただいております。
  ☆Wordpressネタが多いですが、趣味の「園芸」「卓球」などの情報や日々の出来事などもどんどん増やしていきますのでよろしくお願いいたします。

---

• 作者の記事一覧はこちら

いつでもご相談・サイトカスタマイズの依頼を受け付けています

Wordpressのカスタマイズ、不具合解消のご相談はすべてココナラのダイレクトメッセージからお受けしております。まずはこちらのバナーからお気軽にお問い合わせください。

※一度もココナラを使ったことがない方はココナラへの無料登録が必要です。こちらから登録後、上のリンクをクリックする、またはココナラトップページから「ひまあーと」を検索してお問い合わせください。

記事の拡散にご協力をお願いします

閲覧いただきありがとうございました。役に立つ情報でしたら是非SNSでシェアをお願いします

【WordPress】Google Search Console(Webmastertool)のサイトマップの送信件数が0(ゼロ)になってしまったときの対処

Google Search Console(Webmastertool)へ行き、ダッシュボードが表示され、サイトマップのところを見たらなんと送信件数が0(ゼロ)になっているではありませんか。エラーが出ているようなのでメッセージを見たら「サイトマップが HTML ページです。サポートされている形式のサイトマップを使用してください。」と表示されました。みなさんは大丈夫？？ということで私の行った対処を紹介します。

「AMP(Accelerated Mobile Pages)」についての勉強メモ

巷では表示が「高速化」されることでGoogleの検索順位に影響が出てアクセスアップにつながるなどという記事も見かけますからやるべきなの？と思いますが、確かにページの表示速度がページの評価に影響があるのは間違いないものの、仕組みも知らないうちに使うのはどう？ということでいろいろ調べていきたいと思います。

【WordPress】特定のプラグインやテーマの更新通知をしないようにする方法

Wordpressのプラグインって本当にいろいろあって便利なのですが、最新バージョンのプラグインがWordpressのコアバージョンに対応していなかったり、以前の機能だけで良かったり、自分以外の人にWordpressベースで作ったサイトを管理してもらったりする際に更新通知が出てなにげに更新してしまい不具合が発生した、なんてことを防止するために、特定のプラグインの更新をOFF（非表示）にする方法を紹介します。