Knowledge Base
WordPressのカスタマイズ方法やプラグインレビューを中心に、パソコン/動物/植物のことなどを紹介するホームページです

【WordPress】REST APIは便利で危険な標準機能!?

公開日: 使い方など

こんな記事を書きながら、私も全くといっていいほどREST APIについては無知の状態ですので参考程度に読んでいただければと思います。

私がREST APIを知ったのは、このサイトを階層化して運営しようと考えているときのことでした。

階層化というのは、ドメインのルートにメインのWordpresssサイトを設置し、ジャンル別にサブディレクトリで別のWordpressサイトを作るもの。平たく言うとメインのポータルサイト+テーマ別の子サイトを作ろうというわけ。

WordPressにはマルチサイトという機能があるのはご存知かと思いますが、マルチサイトだと同一のデータベースに複数のWordpressのデータを格納することになるので、これを使って分ける意味があるのか??と個人的には考えています。多分それぞれのサイトのアクセス数が上がってくるとデータベースが火を噴いてアクセス不可、表示速度の低下につながることが考えられるからです。

そうなると複数のデータベースを作ってそれぞれのサイトを独立運用することになるのですが、ここで問題が・・・それはポータルサイトへどうやってそれぞれのサイトの新着記事を表示するのかということ。

単純にRSSを使えば表示は可能ですが、キャッシュを使うので時間差が生じてしまうことからちょっと使いにくいですよね?

そこでいろいろ調べているうちにREST APIというのを知ったというのが経緯です。

WordPressのバージョン4.7から特に何もしなくてもREST APIが利用できるようになったそうですが、すぐに4.7.1がリリースされたの覚えてます??とんでもない脆弱性が発見されたということで更新されたのですが、実はこのアップデートはREST APIでいらん情報まで簡単に読み取れてしまうというものだったようです。

REST APIの便利なところ・危険なところ

公式の解説ページである

developer.wordpress.org
 
REST API Handbook | WordPress Developer Resources
https://developer.wordpress.org/rest-api/

によると、特にログインすることもなく、データベースに接続することもなくいろいろな情報が外部から読み取れるようになっているようです。

便利なのはこれを使って他のサイトの新着記事などを表示できること。前述したポータルサイト化するにはもってこいの機能だと思いました。

が、問題が・・・。

実際にいろいろな参考サイトを見てリスト表示してみたらちゃんと動作しました。でも・・・これってどこのドメインからでもできちゃうんじゃないの??ということで実験してみたら・・・見事に読み取ることができました(泣)。これ悪用しようと思ったらいくらでもできちゃうでしょ!!という結論に達しました。世の中いい人ばかりではありませんからね。

いくつかのサイトで同一ドメイン内でないと動作しないなんて書いてありましたが、実際にできてしまったのでこの方法は却下です(ひょっとしたら同一サーバー内ということなのかも知れませんが、そちらも同様にできちゃいましたからそういうことでもないようです)。

そうなると冒頭のリスト表示という問題ではなくREST APIってどうよ??というところへ行ってしまいました(またまた脱線です)。

そこでREST APIを無効にする方法を試してみました。

REST APIを無効にすると・・・

REST APIを無効にする方法もたくさんのサイトで紹介されていますし、プラグインも多数存在します(REST APIで検索するといっぱい出てきます)。

興味深かったのは

寝ログ
 
WordPressのREST APIを無効化しつつ特定プラグインは動作するようにカスタマイズす...
https://nelog.jp/deny-restapi-except-plugins
REST APIを無効にしていたら、JetpackやContact Form 7が使えなくなってしまった…なんて場合の対処方法です。REST APIは無効化したまま利用したいプラグインのみをホワイトリスト方式で指定できます。

の記事。さすがSimplicity2作者のわいひらさんです。無下にREST APIを無効にすると不具合が出るということと、それを解消する対処方法が書かれています。本当にさすが!!ですね。

ただここに掲載されているプラグインなどだけを使っているわけではないのでコピペすれば大丈夫!!ということもなさそうですから、どんなことにREST APIが使われているのかを調べる必要があります。

それができるのが

Knowledge Base
REST APIのリクエストとレスポンスを記録するためのプラグイン「REST API Log」
https://www.momosiri.info/wppi/wp-rest-api-log/
このプラグインはREST API経由で情報が取得されているログを取れるプラグインです。REST APIを遮断することはいろいろなサイトで紹介されていますが、中にはプラグインの機能で利用されていることもあり、すべて止めてしまうと不具合がでることもあるそうですので、...

というプラグイン。いろいろ調べましたがログが取れるのはこのプラグインだけのようです。

しばらくこれを使って記録を取り、本当に除外すべきだけ適用させれば盤石ですね。

  • この記事を書いた人:

  • ☆最後までお読みいただきありがとうございました。記事作者のひまあーとです。
    ☆Wordpressでサイトをカスタマイズしていく上で有用な情報を配信しつつ、「ココナラ」でサイトカスタマイズのお手伝い、不具合の修復、サイト引っ越し代行などをさせていただいております。
    ☆Wordpressネタが多いですが、趣味の「園芸」「卓球」などの情報や日々の出来事などもどんどん増やしていきますのでよろしくお願いいたします。

QR Code

このページはモバイル端末でもご覧いただけます

左のQRコードを読み取っていただくと、このページのURLが表示され、簡単にアクセスできます。ぜひモバイル端末でもご覧ください。

WordPressのカスタマイズ・不具合対応などご相談ください

Wordpressのカスタマイズ、不具合解消のご相談はすべてココナラのダイレクトメッセージからお受けしております。まずはこちらのバナーからお気軽にお問い合わせください。

※一度もココナラを使ったことがない方はココナラへの無料登録が必要です。こちらから登録後、上のリンクをクリックする、またはココナラトップページから「ひまあーと」を検索してお問い合わせください。

【スポンサーリンク】