实战：如何优雅地禁止未登录用户访问WordPress的wp-json接口

大家好，今天想和大家分享一个我在维护WordPress站点时遇到的实际问题。最近在服务器日志里发现大量针对/wp-json/wp/v2/的恶意扫描请求，这让我意识到需要加强API接口的安全性。经过一番折腾，终于找到了几种有效的解决方案。

为什么需要限制wp-json访问？

WordPress的REST API（wp-json）默认是对所有人开放的，这可能会带来几个安全隐患：

• 暴露网站用户列表（/wp-json/wp/v2/users）
• 泄露文章、页面等内容的元数据
• 成为暴力破解的攻击入口
• 增加服务器不必要的负载

记得有一次，我的测试站点就因为没做限制，被爬虫疯狂抓取用户数据，CPU直接飙到100%。从那以后，我就养成了新站点必做API限制的习惯。

方法一：使用.htaccess文件限制

对于使用Apache服务器的站点，这是我最推荐的方式，简单直接：

# 禁止未授权访问wp-json
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/wp-json/
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in.*$ [NC]
RewriteRule ^ - [R=403,L]
</IfModule>
  

这段代码会检查请求是否包含登录cookie，如果没有就直接返回403禁止访问。我在生产环境用了这个方法，效果立竿见影，恶意请求直接减少了90%。

方法二：通过functions.php添加代码

如果你更喜欢用代码实现，可以在主题的functions.php中添加：

add_filter( 'rest_authentication_errors', function( $result ) {
    if ( ! empty( $result ) ) {
        return $result;
    }
    if ( ! is_user_logged_in() ) {
        return new WP_Error( 'rest_not_logged_in', '请先登录', array( 'status' => 401 ) );
    }
    return $result;
});
  

这个方法的优点是更灵活，你可以根据需要添加更多条件。不过要注意，某些插件可能依赖公开API，加上限制后可能会影响功能。

方法三：使用安全插件

如果你不想碰代码，可以考虑使用安全插件：

• Wordfence Security – 在防火墙规则中添加API限制
• All In One WP Security – 提供REST API禁用选项
• Disable REST API – 专门用于管理API访问权限

我个人比较喜欢Wordfence，因为它不仅能限制API访问，还能提供实时防护。不过要注意，插件越多可能对性能影响越大。

注意事项

在实施这些限制前，有几点需要注意：

1. 确保你的前端不需要公开API功能（如AJAX请求）
2. 测试所有关键功能是否正常工作
3. 如果使用缓存插件，记得清除缓存
4. 做好备份，以防万一需要回滚

有一次我忘记测试联系表单，结果限制API后表单提交全挂了，幸好有备份能快速恢复。

总结

保护WordPress的REST API其实并不复杂，但确实很重要。我个人最喜欢.htaccess的方法，因为它不依赖PHP执行，效率最高。不过具体选择哪种方式，还是要根据你的技术水平和站点需求来决定。

如果你有其他更好的方法，欢迎在评论区分享！下次我可能会写写如何只对特定API端点做限制，那会更有趣一些。