WordPress 5.0+ 怎么禁止访问wp-json.php

WordPress 从 4.4 版本开始新增的 JSON REST API 功能，通过这个 REST API 可以很轻松的获取网站的数据，可应用于其他网站、手机 APP 或小程序等；

但对于一般的网站是没有需要的，反而会拖累网站的速度，而且 REST API 采用 GET 请求方式，这就为 DDOS 攻击提供了一个新的攻击途径，所以我们应尽可能的禁止掉这些不必要的功能需求，禁止访问wp-json.php，并且去掉 head 里面输出 wp-json 链接。

在此也说下查看 WP JSON REST API 是否开启的方法：域名/wp-json/，若输出数据则是开启状态。

因此如果我们想兼容所有版本的 WordPress，我们可以直接使用插件Disable REST API或Disable WP REST API来完全禁用 REST API；但我更倾向纯代码的方法，在这里就介绍下代码版兼容所有 WordPress 版本的完全禁用 REST API 或者说移除 head 里面 wp-json 链接的方法。

直接将以下代码添加到网站正在使用的wordpress模板的 functions.php 文件中即可禁用 JSON REST API ：

/**

* WordPress完全禁用REST API

*/

// 屏蔽 REST API

if ( version_compare( get_bloginfo( 'version' ), '5.0', '>=' ) ) {

function lxtx_disable_rest_api( $access ) {

return new WP_Error( 'rest_api_cannot_acess', '无访问权限', array( 'status' => rest_authorization_required_code() ) );

}

add_filter( 'rest_authentication_errors', 'lxtx_disable_rest_api' );

} else {

// Filters for WP-API version 1.x

add_filter( 'json_enabled', '__return_false' );

add_filter( 'json_jsonp_enabled', '__return_false' );

// Filters for WP-API version 2.x

add_filter( 'rest_enabled', '__return_false' );

add_filter( 'rest_jsonp_enabled', '__return_false' );

}

// 移除头部 wp-json 标签和 HTTP header 中的 link

remove_action('template_redirect', 'rest_output_link_header', 11 );

remove_action('wp_head', 'rest_output_link_wp_head', 10 );

remove_action('xmlrpc_rsd_apis', 'rest_output_rsd');