skills/codedao12/Wordpress REST API

Wordpress REST API

📝 零依赖 WordPress 自动化 CLI

基于原生 HTTP 的 WordPress REST API CLI 工具,支持文章、页面、分类、标签及用户的自动化管理,无需额外依赖。

收藏
14.4k
安装
4.1k
版本
1.0.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

WordPress REST API Skill 是一款面向开发者的命令行工具,专为 WordPress 站点内容自动化而设计。它通过原生 fetch 直接与 WordPress REST API 通信,无需引入 axios 等外部 HTTP 库,实现轻量级部署。核心功能覆盖完整的内容生命周期:支持文章(posts)和页面(pages)的增删改查、分类(categories)与标签(tags)的 taxonomy 管理、用户(users)信息读取,以及自定义 HTTP 请求(request 命令)以应对扩展场景。

使用方式

通过 node scripts/wp-cli.js <command>npm run wp -- <command> 调用,支持 JSON 文件输入(@path 语法)和链式查询参数(--query key=value)。身份验证支持三种模式:Basic Auth Token(base64 编码)、用户名+应用密码分离传入、以及 JWT Bearer Token,灵活适配不同安全策略。

显著优点

1. 零外部依赖:Node.js 18+ 原生 fetch 实现,减少供应链攻击面,安装体积极小
2. 管道友好:严格的 JSON-in/JSON-out 设计,便于与 CI/CD、Shell 脚本及数据处理流水线集成
3. 安全认证:推荐使用 WordPress Application Password 而非主密码,支持最小权限原则
4. 生产导向:内置操作指引如 context=view 只读优化、status=draft 内容预发布,以及 429/5xx 重试建议

潜在局限

  • 认证限制:不支持 OAuth 流程及浏览器交互式登录,纯后端场景专用
  • 媒体上传:缺乏多部分流式上传能力,不适合大文件批量处理
  • 错误处理:依赖非零退出码,复杂错误场景需外部编排器补充重试逻辑
  • 版本依赖:强制要求 Node.js 18+,旧环境需升级

适合人群

DevOps 工程师、内容运营自动化团队、多站点管理的 WordPress 开发者,以及需要 headless CMS 数据管道集成的技术团队。

常规风险

应用密码和 Token 需严格隔离于环境变量,禁止硬编码或日志输出;建议为自动化任务创建专用低权限 WordPress 账户,遵循最小权限原则以降低凭证泄露后的横向移动风险。

安全解读

核心用法

本Skill提供完整的WordPress REST API命令行封装,基于Node.js 18+原生fetch实现,无需安装axios等HTTP库。核心能力覆盖:

| 资源类型 | 支持操作 |
|---------|---------|
| Posts/Pages | list/get/create/update/delete |
| Categories/Tags | list/create |
| Users | list/get |
| 高级 | 任意HTTP方法自定义请求 |

典型工作流

  • 列表查询:posts:list --query per_page=5&status=publish
  • 创建内容:posts:create '@draft.json'(支持文件输入)
  • 批量运维:配合jq实现JSON流水线处理

认证方式(优先级递减):
1. WP_BASIC_TOKEN - 预计算Base64
2. WP_USER + WP_APP_PASSWORD - 应用密码自动编码
3. WP_JWT_TOKEN - Bearer令牌

显著优点

  • 零依赖安全:无npm依赖树风险,296行纯Node.js代码
  • 原生性能:基于Undici(fetch)实现,无额外HTTP库开销
  • 管道友好:JSON-in/JSON-out设计,完美适配shell管道
  • 轻量部署:T-LITE级别Skill,启动<100ms
  • 多认证支持:兼容WordPress Application Password与JWT

局限性与注意事项

| 限制 | 说明 |
|-----|------|
| 无OAuth支持 | 不处理浏览器授权码流程 |
| 无媒体流上传 | 不支持multipart/form-data文件流 |
| 用户可控风险 | `request`命令可发送任意HTTP,需信任目标站点 |
| 无内置重试 | 429/5xx错误需由调用方(如Claude Code)实现指数退避 |

重要:需确保WP_BASE_URL使用HTTPS,避免凭证在传输层暴露。

适合人群

  • DevOps工程师:CI/CD内容自动化、多站点批量配置
  • 内容运营:批量发布/更新文章、标签体系管理
  • WordPress开发者:API调试、数据迁移脚本编写
  • AI Agent编排:为Claude Code提供结构化内容操作能力

常规风险

| 风险等级 | 场景 | 缓解措施 |
|---------|------|---------|
| 低 | 凭证环境变量泄露 | 使用专用低权限账户,定期轮换应用密码 |
| 低 | 中间人攻击 | 强制HTTPS,验证TLS证书 |
| 信息 | 命令历史暴露 | 避免在shell中直接输入密码,使用`.env`文件 |

整体安全评级S级(92分),无后门、无数据外泄、无Agent注入行为。

wordpressrest-apicliautomationheadless-cmscontent-managementdevopsjson-api

Wordpress REST API 内容

assets文件夹
scripts文件夹
手动下载zip · 5.4 kB
wordpress-rest-api-guide.mdtext/markdown
请选择文件