REST APIの情報漏洩
WordPressのREST APIはデフォルトでユーザー一覧を外部に公開しています
functions.phpに以下のコードを書くことでREST APIの「https://xxx.com/wp-json/wp/v2/users/」というエンドポイントが無効化されます
add_filter('rest_endpoints', function($endpoints){
unset($endpoints['/wp/v2/users']);
return $endpoints;
});書いたら「https://xxx.com/wp-json/wp/v2/users/」にアクセスしてみてください
無効化できていれば、404エラーまたは空のレスポンスが返ってきます
無効化しないとログインしていなくても全ユーザーの「ユーザー名(slug)」が取得できてしまうため、ブルートフォース攻撃の足掛かりになってしまいます
BACK