Gracias por la respuesta @cybmeta. Finalmente hemos optado por instalar el plugin «Disable REST API» que deshabilita el uso de JSON REST API para usuarios no autorizados. Por defecto, protege todas las entradas REST API /wp-json y deja habilitar el acceso normal a cualquier endpoint según necesidad.