在开始之前，先给大家看一个链接 siteurl/wp-json/wp/v2/users 如果你也是站长的话，请把 siteurl 换成你自己的链接然后访问，在 slug 后面，你会发现自己的网站管理用户名就在这里，是的，攻击者可以对此进行暴力破解密码，从而进入你的后台，防范其实很简单。

把下面的代码添加到主题的 functions.php 文件中即可。

//代码由 wpjamer 提供
function rest_only_for_authorized_users($wp_rest_server) {
    if ( !is_user_logged_in() ) {
        wp_die('非法操作！');
    }
}
add_filter('rest_api_init', 'rest_only_for_authorized_users', 99);

然后再试试退出登录后访问网址，就可以了。