【WordPress】パスワード保護（Password Protected）を有効にしていると、REST APIが使えない。

多言語サイトを作成する際によく使うbogo。
お問い合わせフォームを作成する際にほぼ定番となっているContact Form 7。

Bogo https://ja.wordpress.org/plugins/bogo/

独自テーブルをたくさん作ったり後で頭痛を起こすような HTML コメントの混入をしない、とても素直な多言語化プラグイン。

Contact Form 7 https://ja.wordpress.org/plugins/contact-form-7/

お問い合わせフォームプラグイン。シンプル、でも柔軟。

この2つのプラグインに共通しているのは、

• 制作者が同じ
• REST APIを使用している

点です。

で、このREST APIというのが曲者で、昨年この機能の脆弱性を狙って悪用されるというケースが頻発し、サーバー側がREST API自体を停止（有効にする際は自己責任）する、何てこともありました。

さて、現バージョンではそのような脆弱性も解消された（んだよね？）ようで、機能としては問題なく使えるようになったのですが、サーバー側の対策はそのまま厳しいまま残っており、テストサーバーでは使えたプラグインが別の本番サーバーでは使えない！ということもしばしばです。

ちょっと面倒ですが仕方がありません。

本題です。

WordPressサイト全体にパスワードをかけて、限定公開するプラグイン「パスワード保護（Password Protected）」というのがあります。

Password Protected https://ja.wordpress.org/plugins/password-protected/

とても手軽に、WordPressのサイトにパスワード保護をかけられます。

このプラグイン、パスワード保護状況の設定を有効にしていなくても、プラグイン自体を有効にしているだけでREST APIが無効にされてしまいます。

Password Protected

ですので、パスワード保護が不要になったらそのまま残さず、無効にするか削除しておいた方が良いです。