SEOFX – SEO Agentur Nürnberg
Kostenlos anfragen
WordPress SEO

WordPress REST API und SEO: Was Sie wissen müssen

4 Min. Lesezeit

WordPress REST API ist seit Version 4.7 standardmäßig aktiv und ermöglicht den programmatischen Zugriff auf Inhalte, Benutzer und Metadaten. Das ist nützlich für Headless WordPress, Apps und Integrationen – aber für Standard-WordPress-Websites gibt es mehrere SEO-relevante Konfigurationsaspekte die Sie wissen müssen und die oft übersehen werden.

Was die REST API exponiert

Standardmäßig sind über die REST API zugänglich:

  • Alle veröffentlichten Inhalte (Posts, Pages, CPTs)
  • Kategorien und Tags
  • Benutzernamen der Autoren (/wp-json/wp/v2/users/)
  • Medien-Bibliothek-URLs

Das SEO-Problem: Benutzernamen via REST API werden oft für Brute-Force-Angriffe genutzt. Ein kompromittierter Admin-Account kann Spamlinks in Inhalte einschleusen – direkter SEO-Schaden.

Websites die Benutzernamen über die REST API exponieren haben laut Sicherheitsanalysen 3x häufiger Brute-Force-Angriffe auf WordPress-Logins – was zur Content-Manipulation und damit zu SEO-Penalties führen kann.

Benutzernamen-Exposition absichern

Der kritischste Punkt: /wp-json/wp/v2/users/ zeigt alle Benutzernamen im Klartext:

[{
  "id": 1,
  "name": "admin",
  "slug": "admin",
  "link": "https://beispiel.de/author/admin/"
}]

Lösung 1: Users-Endpoint für nicht-eingeloggte deaktivieren:

// In functions.php:
function restrict_user_endpoint($result) {
    if (!is_user_logged_in()) {
        return new WP_Error(
            'rest_forbidden',
            'Zugriff verweigert.',
            ['status' => 401]
        );
    }
    return $result;
}
add_filter('rest_authentication_errors', 'restrict_user_endpoint');

Lösung 2: Plugin „Disable REST API” für granulare Kontrolle.

REST API und Duplicate Content

Die REST API liefert Inhalte in JSON-Format unter /wp-json/. Diese URLs sind:

  • Von Google nicht indexierbar (kein HTML)
  • Aber sie erscheinen manchmal in robots.txt-Analysen und Crawls

Stellen Sie sicher dass REST-API-Endpoints in robots.txt geblockt sind wenn Sie keine Headless-Lösung betreiben:

# In robots.txt:
Disallow: /wp-json/

Ausnahme: Wenn Sie Headless WordPress mit Front-End-Framework nutzen und die API aktiv verwenden, darf die REST API NICHT geblockt werden – dann wird der Frontend-Teil stattdessen gecrawlt.

Testen Sie ob Google Ihre REST-API-Endpoints crawlt: In der Google Search Console unter „URL-Prüftool" eine /wp-json/-URL eingeben. Wenn Google diese URLs gecrawlt hat, erscheinen sie im Bericht. Die meisten Standard-WordPress-Sites sollten REST API für Crawler blockieren.

REST API für SEO nützlich nutzen

Wenn Sie als Entwickler mit WordPress arbeiten, hat die REST API positive SEO-Anwendungen:

Headless WordPress: Frontend als Next.js oder Gatsby, WordPress nur als CMS. Das Frontend hat bessere Performance-Kontrolle → bessere Core Web Vitals → bessere Rankings.

Automatische Sitemaps: REST API-Abfragen können für automatische Sitemap-Generierung genutzt werden.

Content-Aggregation: Mehrere WordPress-Installationen in einem Frontend zusammenführen.

JSON-LD und REST API

Wenn Ihre Website Schema.org Markup als JSON-LD im <head> hat, ist das kein REST-API-Problem. JSON-LD im HTML wird normal gecrawlt. Nur die REST-API-Endpoints unter /wp-json/ sind das potenzielle Problem.

Empfohlene Konfiguration für Standard-WordPress

Für normale WordPress-Websites (kein Headless, keine API-Integrationen):

  1. REST API für Nicht-Eingeloggte einschränken (Benutzernamen, ggf. Posts)
  2. /wp-json/ in robots.txt blockieren wenn kein Headless
  3. Starke Passwörter für alle Admin-Accounts (verhindert Brute Force)
  4. Two-Factor-Authentication aktivieren (Plugin: WP 2FA)
// Gesamte REST API für Nicht-Eingeloggte deaktivieren (Optional, stark):
function disable_rest_api_for_non_logged_in($access) {
    if (!is_user_logged_in()) {
        return new WP_Error(
            'rest_not_logged_in',
            'REST API nur für eingeloggte Nutzer.',
            ['status' => 401]
        );
    }
    return $access;
}
add_filter('rest_authentication_errors', 'disable_rest_api_for_non_logged_in');

Vorsicht: Das komplett deaktivieren der REST API kann manche Plugins (Gutenberg, WooCommerce) beeinträchtigen. Nur gezielte Endpoints einschränken ist sicherer.

WordPress-Sites mit korrekt eingeschränkter REST API und aktivierter Two-Factor-Authentication für Admin-Accounts haben 85 % weniger erfolgreiche Brute-Force-Angriffe – was Content-Manipulation und daraus resultierende SEO-Penalties effektiv verhindert.

Mehr zu WordPress-Sicherheit finden Sie in unserem Artikel über WordPress Sicherheit und SEO.

WordPress sicher und SEO-optimal konfigurieren.

Wir sichern Ihre WordPress-Website gegen Angriffe und konfigurieren alle SEO-relevanten technischen Einstellungen für maximale Rankings ohne Sicherheitsrisiken.

WordPress SEO anfragen

Weitere Artikel zu WordPress SEO