プラグイン https://wordpress.org/plugins/disable-json-api/

By default, this plugin ensures that the entire REST API is protected from non-authenticated users. You may use this page to specify which endpoints should be allowed to behave as normal.

Embed, Contact Form 7 (プラグインインストールしている場合) は許可する

• /oembed/1.0
• /contact-form-7/v1

以下では、REST API を使用している Embed（oEmbed）や編集エディタの機能、 Contact Form 7、 Akismet のプラグイン以外で REST API を無効にしています。
https://www.webdesignleaves.com/pr/wp/wp_user_enumeration.html