WordPress incluye desde hace ya unas cuantas versiones una API que, por defecto, viene activa y abierta a todos los usuarios en modo lectura.
Aunque en un principio no hay un problema de seguridad explícito en ello, sí que es verdad que a menos que se utilice la API no tiene mucho sentido dejarla abierta ya que se pueden generar una serie de consultas que no tienen ningún sentido en ello.
Un ejemplo para verificar de qué se trata es acceder a la página principal de tu sitio WordPress y añadirle a la URL el /wp-json/. Por ejemplo https://example.com/wp-json/.
Por defecto verás información de tu sitio en un formato de texto (o si tu navegador le da formato, de forma más o menos comprensible).
Para evitar esta fuga de información, puedes activar un plugin como Disable WP REST API, que de forma automática y sencilla sólo dará acceso a los usuarios que hayan accedido como registrados a dicha información, y la cierra a la navegación anónima.
Sobre este documento
Este documento está regulado por la licencia EUPL v1.2, publicado en WP SysAdmin y creado por Javier Casares. Por favor, si utilizas este contenido en tu sitio web, tu presentación o cualquier material que distribuyas, recuerda hacer una mención a este sitio o a su autor, y teniendo que poner el material que crees bajo licencia EUPL.