Це так, але цього мало. Тому що різні розробники плагінів можуть створити свої REST або AJAX функції. Наприклад один з відомих зломів. Був плагін що додав форму логіну/реєстрації. Знаючи юзернейм та nonce можна було надіслати запит через Rest API та змінити пароль без підтвердження. В такому випадку, ви не могли вимкнути API, бо тоді не буде працювати плагін, проблема лише у тому що не було перевірки рівня доступу та додаткової перевірки на пошту. Я це веду до того, що багато речей залежить від реалізації, і плагін безпеки не зможе вас захистити там, де навмисно відчинені двері. Інший дієвий засіб це відстеження модифікації коду та своєчасне блокування атак, як це зроблено в Patchstack.

@@mastersoxy8272 я розумію, що потрібно це, але це не зрозуміє власник невеликого інтернет магазину або блога, їм простіше поставити якийсь плагін і все