Hi Sebastian,

sehr gerne, freut mich, dass es interessant ist!

»Während ich sorgsam drauf gucke, welche Daten über die grafische Oberfläche zugänglich sind, sind evtl. dieselben Daten öffentlich via REST-API einsehbar.
Für normale User nicht tragisch - aber wer üble Dinge im Sinn hat.«

Ja, da gibt es ein aktuelles Beispiel eines COVID-Testzentrums, dem genau das passiert ist, dass sensible Daten über die REST-API zugänglich waren (Link aus dem heutigen WP Letter): https://blog.wpscan.com/2021/04/09/covid-test-center-wordpress-leak.html

Es gibt Plugins, mit denen auch granular einzelne Endpunkte abgestellt werden können. Ich hatte damit bisher in erster Linie Probleme, weil dann irgendwas nicht mehr funktioniert hat und man erst auf die Idee kommen musste, dass da etwas deaktiviert ist (wenn man eine Installation nicht selbst aufgebaut hat sondern irgendwann anfäng damit zu arbeiten) 😀