wp-jsonってご存知でしょうか？最近のワードプレスに標準装備されているAPIです。

1. HTTP ベースの REST API
2. サイトのユーザー、投稿、タクソノミー、その他のデータに対してシンプルな HTTP リクエストを送信することで、取り出したりアップデートすることが可能
3. デフォルトで有効

wp-jsonの厄介なポイントは

個人的にとても面倒だと思っているのは、認証不要でもアクセスできるエンドポイント（URL）が存在することです。把握しきれません。

また、wp-jsonへのアクセスはデータベースに対するクエリーが発生し、このクエリーがキャッシュされていない場合とても重いところがとても嫌です。

wp-jsonへアクセスしてくるのはbingbot（microsoft）

bingbotは新しいことが大好きなのようで、wp-json経由で情報を取得することを試みます。bingbot以外にもduckduckgoや怪しげな攻撃者が利用していることを確認しています。エンドポイントの実例は以下のような感じです。

• /wp-json/wp/v2/tags/521
  
• /wp-json/wp/v2/users/
  
• /wp-json/wp/v2/posts/3882
  
• /wp-json/wp/v2/pages/2213

Googleがこのwp-jsonにアクセスした実績は今の所ありませんでした。

そもそも、sitemap.xmlにも記載していないURLへのアクセスなので攻撃に等しいんじゃないかと思いますよ。＞ bingbot

wp-jsonへのアクセスをガッツリ遮断する

同様のことは、ワードプレスのactionやfilterなどでも可能だと思います。PHPで判断するコストが発生するので、初めの段階でアクセスしないように.htaccessで除外しています（↓の例ではwp-jsonで始まるURLはトップページにリダイレクト）。

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-json(.*)$ https://サイト/ [R=301,L]
</IfModule>

まとめ：wp-jsonは閉じました。

.htaccessでwp-json系へのアクセスは全部トップページに遷移するようにしました。これでwp-jsonは無効になっています。

wp-jsonを利用できなくするデメリットは？今の所ありません。
ご自身で導入しているプラグイン、テーマ等でwp-jsonを利用しているパターンもあるかもしれません。こういった場合、wp-jsonは有効にしておく方がいいですね。