In der c’t 23/2020 wird darauf hingewiesen, dass WordPress in den meisten Fällen die JSON-API nicht ausreichend vor Zugriffen schützt. Um ungewollte Zugriffe zu verhindern wird eine Modifikation der functions.php empfohlen.
Der Code darf aber lt. Nutzungsbedingungen des heise-Verlages auf den ersten Blick nicht ohne Einverständnis zugänglich gemacht werden. Zum Glück findet man auch Hinweise dazu unter:
https://github.com/Tmeister/wp-api-jwt-auth/issues/6#issuecomment-298948710
Nachtrag 6.11.2020:
Unter den oben getroffenen Einstellungen leidet das “Contact Form 7”-Plugin. Dies kann aktuell mit dem “Disable Rest API”-Plugin korrigiert werden. Ein Beschreibung findet man hier:
https://www.sitefactor.de/wordpress-contact-form-7-plugin-versendet-keine-emails-mehr