InspectWP Logo
Glossar

Was ist die WordPress REST API?

8. Februar 2026 Aktualisiert am 19.04.2026

Die WordPress REST API ist eine eingebaute Schnittstelle, die es externen Anwendungen, JavaScript-basierten Frontends, mobilen Apps und Drittanbieter-Diensten ermöglicht, über Standard-HTTP-Anfragen und JSON-Daten mit deiner WordPress-Seite zu kommunizieren. Sie wurde in WordPress 4.7 (Dezember 2016) in den Core integriert und ist seitdem das Rückgrat moderner WordPress-Entwicklung. Sie treibt alles an, vom Gutenberg-Block-Editor bis hin zu Headless-WordPress-Architekturen.

Vor der REST API war der einzige programmatische Weg, von außen mit WordPress zu interagieren, XML-RPC, ein älteres und deutlich eingeschränkteres Protokoll. Die REST API ersetzte diesen Ansatz durch etwas weit Flexibleres, brachte aber auch neue Sicherheitsaspekte mit sich, die jeder WordPress-Betreiber verstehen sollte.

Standard-Endpunkte und was sie offenlegen

Die REST API befindet sich bei /wp-json/wp/v2/ auf jeder WordPress-Installation. Standardmäßig stellt sie eine breite Palette von Endpunkten bereit:

  • /wp-json/wp/v2/posts: Gibt alle veröffentlichten Beiträge mit ihrem vollständigen Inhalt, Autoren-IDs, Kategorien, Tags und Beitragsbildern zurück.
  • /wp-json/wp/v2/pages: Das Gleiche wie Posts, aber für statische Seiten.
  • /wp-json/wp/v2/users: Listet alle Benutzer auf, die mindestens einen Beitrag veröffentlicht haben. Dies ist der sicherheitskritischste Standard-Endpunkt.
  • /wp-json/wp/v2/categories und /wp-json/wp/v2/tags: Geben Taxonomie-Terme mit Beschreibungen und Beitragszahlen zurück.
  • /wp-json/wp/v2/comments: Listet öffentliche Kommentare auf, einschließlich Kommentatornamen und manchmal E-Mail-Adressen bei Fehlkonfiguration.
  • /wp-json/wp/v2/media: Listet hochgeladene Mediendateien mit ihren URLs, Abmessungen und Metadaten auf.
  • /wp-json/wp/v2/search: Bietet einen Such-Endpunkt, der die eingebaute Suche der Seite widerspiegelt.
  • /wp-json/ (der Root): Gibt einen vollständigen Index aller registrierten API-Namespaces und Routen zurück und verrät damit effektiv jedes Plugin, das eigene API-Endpunkte registriert.

Plugins fügen häufig eigene Namespaces hinzu. WooCommerce ergänzt /wp-json/wc/v3/, Yoast SEO fügt Endpunkte unter seinem Namespace hinzu, und Kontaktformular-Plugins können Einreichungs-Endpunkte offenlegen. Der Root-API-Index verrät all dies und gibt einem Angreifer ein klares Bild davon, welche Plugins installiert sind.

Das Risiko der Benutzer-Enumeration

Der Endpunkt /wp-json/wp/v2/users ist das am meisten diskutierte Sicherheitsproblem der REST API. Standardmäßig kann jeder diesen Endpunkt aufrufen und erhält eine JSON-Antwort mit allen Benutzern, die Inhalte verfasst haben. Jeder Benutzereintrag enthält den Benutzernamen (das slug-Feld), den Anzeigenamen, die Benutzer-ID, die Avatar-URL und einen Link zum Autorenarchiv.

Warum ist das wichtig? Weil Benutzernamen die eine Hälfte der Login-Gleichung sind. Wenn ein Angreifer weiß, dass dein Admin-Konto den Benutzernamen sarah_admin verwendet, muss er nur noch das Passwort erraten (oder per Brute-Force knacken). Ohne die REST API erforderte das Finden von Benutzernamen mehr Aufwand, etwa das Erraten von Autorenarchiv-URLs wie /?author=1. Die REST API liefert diese Information frei Haus in einem strukturierten, maschinenlesbaren Format.

Das ist kein theoretisches Problem. Automatisierte Bots durchsuchen routinemäßig /wp-json/wp/v2/users auf WordPress-Seiten, um Ziellisten für Credential-Stuffing und Brute-Force-Angriffe aufzubauen. Wenn deine Seite einen Benutzer namens admin hat, wird dieses Konto als Erstes angegriffen.

Authentifizierungsmethoden für die REST API

Nicht authentifizierte Anfragen an die REST API geben nur öffentlich verfügbare Daten zurück (veröffentlichte Beiträge, öffentliche Benutzerprofile usw.). Um Inhalte über die API zu erstellen, zu aktualisieren oder zu löschen, benötigst du Authentifizierung. WordPress unterstützt mehrere Methoden:

  • Cookie-Authentifizierung: Das verwendet der Gutenberg-Editor. Wenn du in WordPress eingeloggt bist, sendet dein Browser Session-Cookies mit jeder API-Anfrage. Ein Nonce-Wert verhindert Cross-Site-Request-Forgery. Diese Methode funktioniert nur im Browser-Kontext.
  • Application Passwords: Eingeführt in WordPress 5.6, lässt sich damit für jede Anwendung, die API-Zugriff benötigt, ein eigenes Passwort generieren. Jedes Application Password ist an ein bestimmtes Benutzerkonto gebunden. Du kannst sie einzeln widerrufen, ohne dein Hauptpasswort zu ändern. Sie werden über HTTP Basic Auth gesendet und funktionieren nur über HTTPS.
  • JWT (JSON Web Tokens): Nicht im WordPress-Core enthalten, aber über Plugins wie „JWT Authentication for WP REST API" verfügbar. JWT ist beliebt für Headless-WordPress-Setups, bei denen eine Frontend-Anwendung Benutzer authentifizieren und API-Aufrufe in deren Namen durchführen muss.
  • OAuth: Ebenfalls über Plugins verfügbar. OAuth ist die bevorzugte Methode, wenn Drittanbieter-Anwendungen im Namen deiner Benutzer auf die API deiner Seite zugreifen müssen, weil es das direkte Teilen von Passwörtern vermeidet.

Wann du die REST API tatsächlich brauchst

Die REST API ist keine optionale Funktion, die du einfach abschalten kannst. Sie ist tief in den WordPress-Core integriert, und viele Plugins sind darauf angewiesen:

  • Gutenberg-Block-Editor: Die gesamte Bearbeitungserfahrung basiert auf der REST API. Jedes Mal, wenn du einen Beitrag im Block-Editor erstellst, speicherst oder in der Vorschau anzeigst, kommuniziert er mit der REST API. Deaktivierung würde dich zurück zum Classic Editor zwingen.
  • Headless WordPress: Wenn du WordPress als Content-Management-Backend mit einem separaten Frontend in React, Vue, Next.js oder Nuxt verwendest, ist die REST API (oder ihr neuerer Gegenpart WPGraphQL) der Weg, wie das Frontend Inhalte abruft.
  • Mobile Apps: Die offizielle WordPress-Mobile-App kommuniziert über die REST API mit deiner Seite. Viele benutzerdefinierte Apps für Mitgliedschaftsseiten, Lernplattformen oder Nachrichtenportale nutzen sie ebenfalls.
  • Plugin-Funktionalität: Viele moderne Plugins verlassen sich auf die REST API für ihre Admin-Oberflächen. Plugins, die React oder Vue für ihre Einstellungsseiten verwenden, führen im Hintergrund API-Aufrufe durch. WooCommerce, Jetpack, Yoast SEO und Dutzende andere würden ohne sie nicht funktionieren.
  • Drittanbieter-Integrationen: Zapier, IFTTT und ähnliche Automatisierungstools können über die REST API mit deiner WordPress-Seite interagieren und Workflows ermöglichen wie das automatische Erstellen von Beiträgen aus Formulareinreichungen oder die Synchronisierung von Inhalten zwischen Plattformen.

Sicherheitshärtung ohne Funktionsverlust

Der richtige Ansatz ist nicht, die REST API komplett zu deaktivieren, sondern die Teile einzuschränken, die sensible Informationen offenlegen. Hier sind praktische Schritte:

  • Den Users-Endpunkt einschränken: Fordere Authentifizierung für /wp/v2/users. Mehrere Sicherheits-Plugins bieten dies mit einem einzigen Schalter. Du kannst auch ein Code-Snippet in die functions.php deines Themes oder ein benutzerdefiniertes Plugin einfügen, das den rest_authentication_errors-Hook nutzt, um nicht authentifizierten Zugriff auf bestimmte Endpunkte zu blockieren.
  • Den REST-API-Link aus dem HTML entfernen: WordPress gibt ein <link rel="https://api.w.org/">-Tag im HTML-Head aus, das die API-URL bewirbt. Das Entfernen dieses Tags deaktiviert die API nicht, stoppt aber die Bewerbung ihres Standorts gegenüber automatisierten Scannern.
  • XML-RPC ebenfalls deaktivieren: Wenn du die REST API absicherst, deaktiviere auch die ältere XML-RPC-Schnittstelle (/xmlrpc.php), die eigene Brute-Force- und DDoS-Schwachstellen hat.
  • Ein Firewall-Plugin verwenden: Plugins wie Wordfence, Sucuri oder iThemes Security können den API-Zugriff nach IP-Adresse einschränken, bekannte bösartige Bots blockieren und Rate-Limiting hinzufügen, um automatisierten Missbrauch zu verhindern.
  • Ungenutzte Plugin-Endpunkte entfernen: Wenn ein Plugin API-Routen registriert, die du nicht benötigst, kannst du den rest_endpoints-Filter verwenden, um sie zu entfernen. Das reduziert deine Angriffsfläche und verhindert auch Informationslecks darüber, welche Plugins du installiert hast.

Was InspectWP prüft

InspectWP prüft, ob die REST API öffentlich zugänglich ist, indem es nach dem <link rel="https://api.w.org/">-Tag im HTML-Quellcode deiner Seite sucht. Es testet auch, ob der /wp-json/wp/v2/users-Endpunkt Benutzerdaten ohne Authentifizierung zurückgibt, was auf ein Benutzer-Enumerationsrisiko hinweisen würde. Wenn das API-Link-Tag vorhanden ist, meldet InspectWP die entdeckte REST-API-URL. Wenn Benutzerdaten offengelegt werden, wird dies als Sicherheitsbedenken markiert, mit der Empfehlung, diesen Endpunkt auf authentifizierte Anfragen zu beschränken.

Vorheriger Artikel

Was ist Permissions-Policy?

Nächster Artikel

Was ist Gravatar?

Verwandte Artikel

Was ist eine Meta Description?

Was ist Mixed Content?

Was ist Lazy Loading?

Alle Artikel anzeigen

Prüfe jetzt deine WordPress-Seite

InspectWP analysiert deine WordPress-Seite auf Sicherheitslücken, SEO-Probleme, DSGVO-Konformität und Performance — kostenlos.

Seite kostenlos analysieren