Od wersji 4.7 WordPress wprowadził kilka endpointów RestAPI do swojego silnika. Dzięki temu osoby postronne lub boty mogą odczytać np. listę administratorów wraz z zahashowanymi sumami kontrolnymi do gravatarów. Można całkowicie zablokować dostęp do Restowych endpointów, dodając w functions.php naszego motywu filtr:

add_filter( 'rest_endpoints', '__return_empty_array' );