我们使用wordprees搭建网站时,发现某些搜索引擎蜘蛛会的抓取 /wp-json/wp/v2/ 这样的链接,通常对普通访问者没有直接影响,但如果不加控制,可能会带来以下问题:
暴露敏感信息:
REST API 默认可以公开网站的各种信息,例如文章、分类、标签、用户 ID 等。如果不限制访问,未经认证的请求可能会获取到你不想公开的数据(如用户列表和用户 ID),潜在地增加了安全风险。
浪费服务器资源:
搜索引擎或其他抓取工具频繁请求 /wp-json/wp/v2/ 路径下的内容,会给服务器带来额外负载。特别是 REST API 的动态查询请求比静态内容的请求更耗资源,这可能导致服务器性能下降。
影响 SEO:
搜索引擎索引大量不必要的 API 链接可能会影响你的 SEO,分散了搜索引擎对实际内容页面的关注。同时,这些 API 返回的数据通常不是完整的页面内容,对用户也没有直接价值。
潜在的安全漏洞:
如果某些插件依赖 REST API,未授权访问可能会泄露插件特定的数据或配置,增加攻击面的复杂性。限制未登录用户的访问可以降低这类安全风险。
通常建议对 REST API 访问进行控制,只允许必要的访问。例如,通过代码或插件限制未登录用户对 REST API 的访问,从而减少潜在的风险。
要禁止搜索引擎蜘蛛抓取 WordPress REST API 的 `/wp-json/wp/v2/` 路径,可以通过以下几种方式来实现:
1. 使用 `robots.txt` 文件禁止抓取
在网站的根目录下编辑 `robots.txt` 文件,加入以下内容:
User-agent: *
Disallow: /wp-json/
这样会告诉搜索引擎蜘蛛不抓取 `/wp-json/` 路径下的所有内容。
2. 修改 `.htaccess` 文件进行限制
如果你使用的是 Apache 服务器,可以通过编辑 `.htaccess` 文件来阻止访问 `/wp-json/` 目录下的内容:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/wp-json/wp/v2/ [NC]
RewriteRule .* - [F,L]
</IfModule>
这段代码会直接返回 403 Forbidden 错误,拒绝访问 `/wp-json/wp/v2/` 目录下的内容。
3. 在 `functions.php` 中限制 REST API 访问
在主题的 `functions.php` 文件中加入以下代码,只允许已登录用户访问 REST API:
add_filter('rest_authentication_errors', function ($result) {
if (!is_user_logged_in()) {
return new WP_Error('rest_forbidden', '仅限登录用户访问 REST API', ['status' => 403]);
}
return $result;
});
此方法会限制未登录用户访问 REST API,包括搜索引擎蜘蛛。
4. 使用插件来管理 REST API 访问
如果希望更灵活地控制 REST API 的访问权限,可以使用像 **Disable REST API** 或 **WP REST API Control** 这样的插件。这些插件允许您在插件设置中轻松关闭 REST API 或仅允许特定用户角色访问。
5.如果仅限制未登录用户的 REST API 访问
如果你希望保留 REST API 供已登录用户或其他特定用户角色使用,而只限制未登录用户的访问,可以使用以下代码:
add_filter('rest_authentication_errors', function ($result) {
if (!is_user_logged_in()) {
return new WP_Error('rest_forbidden', '仅限登录用户访问 REST API', ['status' => 403]);
}
return $result;
});
这段代码会检查用户是否登录,如果未登录,则阻止访问 REST API 并返回 403 禁止访问的错误信息。已登录的用户(例如管理员)仍可以正常使用 REST API。
选择适合的方式后,搜索引擎将无法抓取或访问 `/wp-json/wp/v2/` 接口下的内容。
