核心用法
WordPress REST API Skill 是一款面向开发者的命令行工具,专为 WordPress 站点内容自动化而设计。它通过原生 fetch 直接与 WordPress REST API 通信,无需引入 axios 等外部 HTTP 库,实现轻量级部署。核心功能覆盖完整的内容生命周期:支持文章(posts)和页面(pages)的增删改查、分类(categories)与标签(tags)的 taxonomy 管理、用户(users)信息读取,以及自定义 HTTP 请求(request 命令)以应对扩展场景。
使用方式
通过 node scripts/wp-cli.js <command> 或 npm run wp -- <command> 调用,支持 JSON 文件输入(@path 语法)和链式查询参数(--query key=value)。身份验证支持三种模式:Basic Auth Token(base64 编码)、用户名+应用密码分离传入、以及 JWT Bearer Token,灵活适配不同安全策略。
显著优点
1. 零外部依赖:Node.js 18+ 原生 fetch 实现,减少供应链攻击面,安装体积极小
2. 管道友好:严格的 JSON-in/JSON-out 设计,便于与 CI/CD、Shell 脚本及数据处理流水线集成
3. 安全认证:推荐使用 WordPress Application Password 而非主密码,支持最小权限原则
4. 生产导向:内置操作指引如 context=view 只读优化、status=draft 内容预发布,以及 429/5xx 重试建议
潜在局限
- 认证限制:不支持 OAuth 流程及浏览器交互式登录,纯后端场景专用
- 媒体上传:缺乏多部分流式上传能力,不适合大文件批量处理
- 错误处理:依赖非零退出码,复杂错误场景需外部编排器补充重试逻辑
- 版本依赖:强制要求 Node.js 18+,旧环境需升级
适合人群
DevOps 工程师、内容运营自动化团队、多站点管理的 WordPress 开发者,以及需要 headless CMS 数据管道集成的技术团队。
常规风险
应用密码和 Token 需严格隔离于环境变量,禁止硬编码或日志输出;建议为自动化任务创建专用低权限 WordPress 账户,遵循最小权限原则以降低凭证泄露后的横向移动风险。