InspectWP Logo
Glossar

Was ist die WordPress REST API?

8. Februar 2026

Die WordPress REST API ist eine eingebaute Schnittstelle, die es externen Anwendungen, JavaScript-basierten Frontends, mobilen Apps und Drittanbieter-Diensten ermoeglicht, ueber Standard-HTTP-Anfragen und JSON-Daten mit deiner WordPress-Seite zu kommunizieren. Sie wurde in WordPress 4.7 (Dezember 2016) in den Core integriert und ist seitdem das Rueckgrat moderner WordPress-Entwicklung. Sie treibt alles an, vom Gutenberg-Block-Editor bis hin zu Headless-WordPress-Architekturen.

Vor der REST API war der einzige programmatische Weg, von aussen mit WordPress zu interagieren, XML-RPC, ein aelteres und deutlich eingeschraenkteres Protokoll. Die REST API ersetzte diesen Ansatz durch etwas weit Flexibleres, brachte aber auch neue Sicherheitsaspekte mit sich, die jeder WordPress-Betreiber verstehen sollte.

Standard-Endpunkte und was sie offenlegen

Die REST API befindet sich bei /wp-json/wp/v2/ auf jeder WordPress-Installation. Standardmaessig stellt sie eine breite Palette von Endpunkten bereit:

  • /wp-json/wp/v2/posts: gibt alle veroeffentlichten Beitraege mit ihrem vollstaendigen Inhalt, Autoren-IDs, Kategorien, Tags und Beitragsbildern zurueck.
  • /wp-json/wp/v2/pages: das Gleiche wie Posts, aber fuer statische Seiten.
  • /wp-json/wp/v2/users: listet alle Benutzer auf, die mindestens einen Beitrag veroeffentlicht haben. Dies ist der sicherheitskritischste Standard-Endpunkt.
  • /wp-json/wp/v2/categories und /wp-json/wp/v2/tags: geben Taxonomie-Terme mit Beschreibungen und Beitragszahlen zurueck.
  • /wp-json/wp/v2/comments: listet oeffentliche Kommentare auf, einschliesslich Kommentatornamen und manchmal E-Mail-Adressen bei Fehlkonfiguration.
  • /wp-json/wp/v2/media: listet hochgeladene Mediendateien mit ihren URLs, Abmessungen und Metadaten auf.
  • /wp-json/wp/v2/search: bietet einen Such-Endpunkt, der die eingebaute Suche der Seite widerspiegelt.
  • /wp-json/ (der Root): gibt einen vollstaendigen Index aller registrierten API-Namespaces und Routen zurueck und verraet damit effektiv jedes Plugin, das eigene API-Endpunkte registriert.

Plugins fuegen haeufig eigene Namespaces hinzu. WooCommerce ergaenzt /wp-json/wc/v3/, Yoast SEO fuegt Endpunkte unter seinem Namespace hinzu, und Kontaktformular-Plugins koennen Einreichungs-Endpunkte offenlegen. Der Root-API-Index verraet all dies und gibt einem Angreifer ein klares Bild davon, welche Plugins installiert sind.

Das Risiko der Benutzer-Enumeration

Der Endpunkt /wp-json/wp/v2/users ist das am meisten diskutierte Sicherheitsproblem der REST API. Standardmaessig kann jeder diesen Endpunkt aufrufen und erhaelt eine JSON-Antwort mit allen Benutzern, die Inhalte verfasst haben. Jeder Benutzereintrag enthaelt den Benutzernamen (das slug-Feld), den Anzeigenamen, die Benutzer-ID, die Avatar-URL und einen Link zum Autorenarchiv.

Warum ist das wichtig? Weil Benutzernamen die eine Haelfte der Login-Gleichung sind. Wenn ein Angreifer weiss, dass dein Admin-Konto den Benutzernamen sarah_admin verwendet, muss er nur noch das Passwort erraten (oder per Brute-Force knacken). Ohne die REST API erforderte das Finden von Benutzernamen mehr Aufwand, etwa das Erraten von Autorenarchiv-URLs wie /?author=1. Die REST API liefert diese Information frei Haus in einem strukturierten, maschinenlesbaren Format.

Das ist kein theoretisches Problem. Automatisierte Bots durchsuchen routinemaessig /wp-json/wp/v2/users auf WordPress-Seiten, um Ziellisten fuer Credential-Stuffing und Brute-Force-Angriffe aufzubauen. Wenn deine Seite einen Benutzer namens admin hat, wird dieses Konto als erstes angegriffen.

Authentifizierungsmethoden fuer die REST API

Nicht authentifizierte Anfragen an die REST API geben nur oeffentlich verfuegbare Daten zurueck (veroeffentlichte Beitraege, oeffentliche Benutzerprofile usw.). Um Inhalte ueber die API zu erstellen, zu aktualisieren oder zu loeschen, benoetigst du Authentifizierung. WordPress unterstuetzt mehrere Methoden:

  • Cookie-Authentifizierung: das verwendet der Gutenberg-Editor. Wenn du in WordPress eingeloggt bist, sendet dein Browser Session-Cookies mit jeder API-Anfrage. Ein Nonce-Wert verhindert Cross-Site-Request-Forgery. Diese Methode funktioniert nur im Browser-Kontext.
  • Application Passwords: eingefuehrt in WordPress 5.6, laesst sich damit fuer jede Anwendung, die API-Zugriff benoetigt, ein eigenes Passwort generieren. Jedes Application Password ist an ein bestimmtes Benutzerkonto gebunden. Du kannst sie einzeln widerrufen, ohne dein Hauptpasswort zu aendern. Sie werden ueber HTTP Basic Auth gesendet und funktionieren nur ueber HTTPS.
  • JWT (JSON Web Tokens): nicht im WordPress-Core enthalten, aber ueber Plugins wie "JWT Authentication for WP REST API" verfuegbar. JWT ist beliebt fuer Headless-WordPress-Setups, bei denen eine Frontend-Anwendung Benutzer authentifizieren und API-Aufrufe in deren Namen durchfuehren muss.
  • OAuth: ebenfalls ueber Plugins verfuegbar. OAuth ist die bevorzugte Methode, wenn Drittanbieter-Anwendungen im Namen deiner Benutzer auf die API deiner Seite zugreifen muessen, weil es das direkte Teilen von Passwoertern vermeidet.

Wann du die REST API tatsaechlich brauchst

Die REST API ist keine optionale Funktion, die du einfach abschalten kannst. Sie ist tief in den WordPress-Core integriert und viele Plugins sind darauf angewiesen:

  • Gutenberg-Block-Editor: die gesamte Bearbeitungserfahrung basiert auf der REST API. Jedes Mal, wenn du einen Beitrag im Block-Editor erstellst, speicherst oder in der Vorschau anzeigst, kommuniziert er mit der REST API. Deaktivierung wuerde dich zurueck zum Classic Editor zwingen.
  • Headless WordPress: wenn du WordPress als Content-Management-Backend mit einem separaten Frontend in React, Vue, Next.js oder Nuxt verwendest, ist die REST API (oder ihr neuerer Gegenpart WPGraphQL) der Weg, wie das Frontend Inhalte abruft.
  • Mobile Apps: die offizielle WordPress-Mobile-App kommuniziert ueber die REST API mit deiner Seite. Viele benutzerdefinierte Apps fuer Mitgliedschaftsseiten, Lernplattformen oder Nachrichtenportale nutzen sie ebenfalls.
  • Plugin-Funktionalitaet: viele moderne Plugins verlassen sich auf die REST API fuer ihre Admin-Oberflaechen. Plugins, die React oder Vue fuer ihre Einstellungsseiten verwenden, fuehren im Hintergrund API-Aufrufe durch. WooCommerce, Jetpack, Yoast SEO und dutzende andere wuerden ohne sie nicht funktionieren.
  • Drittanbieter-Integrationen: Zapier, IFTTT und aehnliche Automatisierungstools koennen ueber die REST API mit deiner WordPress-Seite interagieren und Workflows ermoeglichen wie das automatische Erstellen von Beitraegen aus Formulareinreichungen oder die Synchronisierung von Inhalten zwischen Plattformen.

Sicherheitshaertung ohne Funktionsverlust

Der richtige Ansatz ist nicht, die REST API komplett zu deaktivieren, sondern die Teile einzuschraenken, die sensible Informationen offenlegen. Hier sind praktische Schritte:

  • Den Users-Endpunkt einschraenken: fordere Authentifizierung fuer /wp/v2/users. Mehrere Sicherheits-Plugins bieten dies mit einem einzigen Schalter. Du kannst auch ein Code-Snippet in die functions.php deines Themes oder ein benutzerdefiniertes Plugin einfuegen, das den rest_authentication_errors-Hook nutzt, um nicht authentifizierten Zugriff auf bestimmte Endpunkte zu blockieren.
  • Den REST-API-Link aus dem HTML entfernen: WordPress gibt ein <link rel="https://api.w.org/">-Tag im HTML-Head aus, das die API-URL bewirbt. Das Entfernen dieses Tags deaktiviert die API nicht, stoppt aber die Bewerbung ihres Standorts gegenueber automatisierten Scannern.
  • XML-RPC ebenfalls deaktivieren: wenn du die REST API absicherst, deaktiviere auch die aeltere XML-RPC-Schnittstelle (/xmlrpc.php), die eigene Brute-Force- und DDoS-Schwachstellen hat.
  • Ein Firewall-Plugin verwenden: Plugins wie Wordfence, Sucuri oder iThemes Security koennen den API-Zugriff nach IP-Adresse einschraenken, bekannte boesartige Bots blockieren und Rate-Limiting hinzufuegen, um automatisierten Missbrauch zu verhindern.
  • Ungenutzte Plugin-Endpunkte entfernen: wenn ein Plugin API-Routen registriert, die du nicht benoetigst, kannst du den rest_endpoints-Filter verwenden, um sie zu entfernen. Das reduziert deine Angriffsflaeche und verhindert auch Informationslecks darueber, welche Plugins du installiert hast.

Was InspectWP prueft

InspectWP prueft, ob die REST API oeffentlich zugaenglich ist, indem es nach dem <link rel="https://api.w.org/">-Tag im HTML-Quellcode deiner Seite sucht. Es testet auch, ob der /wp-json/wp/v2/users-Endpunkt Benutzerdaten ohne Authentifizierung zurueckgibt, was auf ein Benutzer-Enumerationsrisiko hinweisen wuerde. Wenn das API-Link-Tag vorhanden ist, meldet InspectWP die entdeckte REST-API-URL. Wenn Benutzerdaten offengelegt werden, wird dies als Sicherheitsbedenken markiert, mit der Empfehlung, diesen Endpunkt auf authentifizierte Anfragen zu beschraenken.

Vorheriger Artikel

Was ist Permissions-Policy?

Nächster Artikel

Was ist Gravatar?

Verwandte Artikel

Was ist eine Web Application Firewall (WAF)?

Was sind Core Web Vitals?

Was ist WordPress Multisite?

Alle Artikel anzeigen

Prüfe jetzt deine WordPress-Seite

InspectWP analysiert deine WordPress-Seite auf Sicherheitslücken, SEO-Probleme, DSGVO-Konformität und Performance — kostenlos.

Seite kostenlos analysieren