ペンギンスタート

【WordPress】REST API機能でユーザーIDが漏洩するのを防ぐ

HOME > アーカイブ > WordPress > セキュリティ > 【WordPress】REST API機能でユーザーIDが漏洩するのを防ぐ

WordPressのサイトのコンテンツを簡単に取得できるAPI「REST API」を使用すると、ユーザーIDを外部からブラウザ上で取得できてします。これはセキュリティ面で望ましくないので、無効化する。

ユーザーID漏洩の可能性

ブラウザのURL窓に、

https://example.com/wp-json/wp/v2/users

または、

https://example.com/?rest_route=/wp/v2/users

と入力することで、REST API で取得したユーザーのデータを表示させることができる。

この中にはログインIDが含まれているので、ダッシュボードにログインされてしまうおそれを高める。

ソースコード

function my_filter_rest_endpoints($endpoints) {
  if (isset($endpoints['/wp/v2/users'])) {
    unset($endpoints['/wp/v2/users']);
  }
  if (isset($endpoints['/wp/v2/users/(?P<id>[\d]+)'])) {
    unset($endpoints['/wp/v2/users/(?P<id>[\d]+)']);
  }
  return $endpoints;
}
add_filter('rest_endpoints', 'my_filter_rest_endpoints', 10, 1);

コードの解説

変数$endpointは、APIにアクセスするためのURIのこと。

isset()は、変数に値が入っているかをチェックする関数。

unset()は、定義した変数の割当を削除する関数。

if (isset($endpoints['/wp/v2/users'])) {
    unset($endpoints['/wp/v2/users']);
 }

と、

if (isset($endpoints['/wp/v2/users/(?P<id>[\d]+)'])) {
    unset($endpoints['/wp/v2/users/(?P<id>[\d]+)']);
 }

の箇所では、$endpointsに値が入っていたら削除するように設定している。

add_filter('rest_endpoints', 'my_filter_rest_endpoints', 10, 1);

フィルターフックrest_endpointsにフックして、エンドポイントを編集する。

リファレンス

WordPress

ブロック開発
テーマ開発
管理画面
エディタ
サイト構成
マルチサイト
セキュリティ

Web開発

htmlcss
サーバー
ツール