API REST de WordPress para principiantes: acceda a su contenido desde cualquier lugar

La API REST convierte WordPress en algo más que un sistema de gestión de contenidos tradicional. Se convierte en un framework de aplicaciones.

Otros programas —ya sean aplicaciones móviles, sitios web personalizados o servicios de terceros— pueden comunicarse con tu sitio de WordPress, solicitar datos e incluso modificar contenido.

Podrías pensar que esto es territorio exclusivo de desarrolladores. No lo es.

La API REST potencia funciones que probablemente usas a diario. ¿El editor de bloques? Esa es la API REST en acción. Cada vez que añades un bloque o guardas un borrador de entrada, estás realizando llamadas a la API entre bastidores.

En esta entrada, desglosaré qué es la API REST de WordPress, qué hace realmente y cómo gestionarla en tu sitio.

Aquí están los puntos clave:

• La API REST de WordPress está integrada en el núcleo de WordPress y permite a aplicaciones externas leer y modificar tu contenido a través de URLs sencillas
• Ya la estás usando; el editor de bloques depende de la API REST para cada bloque que añades y cada borrador que guardas
• Permite WordPress sin cabeza (headless), aplicaciones móviles y aplicaciones de página única sirviendo tu contenido como datos JSON que cualquier plataforma puede consumir
• Los puntos de acceso públicos (como /wp-json/wp/v2/posts) funcionan de inmediato, pero crear o editar contenido requiere autenticación a través de contraseñas de aplicación
• La mayoría de los problemas de la API REST (errores 404, fallos de autenticación) se pueden solucionar volviendo a guardar tus enlaces permanentes o comprobando la configuración de tu contraseña de aplicación

Tabla de Contenidos

¿Qué es la API REST de WordPress?

La API REST de WordPress es una interfaz integrada que permite a otros sistemas interactuar con tus datos de WordPress. Piénsalo como un puente entre tu sitio de WordPress y el mundo exterior.

Viene incluida en el núcleo de WordPress. No necesitas instalar nada adicional; ya está ahí, esperando a ser utilizada.

La API utiliza JSON (JavaScript Object Notation) como formato de datos. JSON es una forma ligera de estructurar datos como texto. Es legible por humanos, lo que significa que puedes mirarlo y entender lo que estás viendo.

Una entrada de blog en JSON parece una lista ordenada de propiedades: título, contenido, autor, fecha de publicación, etc.

He aquí por qué esto es importante: la API REST permite la "desacoplamiento". Puedes gestionar tu contenido en WordPress pero mostrar ese contenido en cualquier lugar. En una aplicación móvil. En un sitio web diferente. En un quiosco digital. En una aplicación personalizada que tu equipo construyó desde cero.

Tu contenido vive en un solo lugar. Pero puede aparecer en todas partes.

¿Qué es una Interfaz de Programación de Aplicaciones (API)?

Me gusta explicar las API con la analogía del restaurante porque realmente funciona.

Estás sentado en una mesa. Quieres comida. Pero no puedes simplemente entrar en la cocina y empezar a sacar cosas de la nevera. Necesitas un intermediario: ese es el camarero.

Le dices al camarero tu pedido (tu solicitud). El camarero lo lleva a la cocina (el servidor/base de datos). La cocina prepara tu comida. El camarero te la trae de vuelta (la respuesta).

Una API es el camarero. Es el intermediario entre una aplicación que quiere datos y el sistema que tiene esos datos. La API toma las solicitudes, se comunica con los sistemas adecuados y entrega los resultados en un formato que la aplicación solicitante puede entender.

Sin la API, las aplicaciones necesitarían acceso directo a tu base de datos. Eso sería desordenado, inseguro y casi imposible de gestionar a escala.

¿Qué es Representational State Transfer (REST)?

REST es un conjunto de reglas arquitectónicas para construir APIs. Cuando una API sigue estas reglas, la llamamos "RESTful". La API REST de WordPress sigue estos principios, por eso tiene "REST" en su nombre.

Aquí están los conceptos centrales:

Sin estado

El servidor no recuerda las solicitudes anteriores. Cada solicitud que haces tiene que incluir todo lo que el servidor necesita para procesarla. No puedes asumir que el servidor sabe lo que pediste hace cinco segundos.

Esto suena limitante, pero en realidad es lo que hace que las APIs REST sean escalables. El servidor no está desperdiciando recursos rastreando estados de sesión para miles de solicitudes simultáneas.

Cliente-Servidor

El cliente (la aplicación que hace las solicitudes) y el servidor (tu sitio de WordPress) están completamente separados. Pueden desarrollarse de forma independiente. Tu aplicación React no se preocupa si WordPress se actualiza a la versión 6.5 o 7.0, siempre que los puntos de conexión de la API se mantengan consistentes.

Interfaz Uniforme

Las APIs REST utilizan métodos HTTP estándar como GET, POST, PUT y DELETE. Esta estandarización hace que la API sea predecible. Los desarrolladores familiarizados con REST pueden aprender rápidamente la API de WordPress porque sigue convenciones que ya conocen.

Estos principios no son solo académicos. Hacen que la API REST de WordPress sea fiable, predecible y fácil de usar.

¿Qué hace la API REST de WordPress?

La API REST expone tus datos de WordPress a través de URLs llamadas "puntos de conexión". Un punto de conexión es una dirección específica donde puedes solicitar datos concretos.

Por ejemplo: /wp-json/wp/v2/posts es el punto de conexión para tus entradas de blog. Visita esa URL en tu sitio y obtendrás una respuesta JSON que contiene tus entradas, títulos, contenido, autores, imágenes destacadas, todo.

Esta es la tecnología que impulsa el Editor de Bloques. Cuando trabajas en Gutenberg, cada acción que realizas desencadena una llamada a la API.

¿Añadir un bloque de párrafo? Llamada a la API. ¿Subir una imagen? Llamada a la API. ¿Guardar tu borrador? Llamada a la API. La interfaz del editor es esencialmente una aplicación JavaScript que habla con tu sitio de WordPress a través de la API REST.

La API permite operaciones CRUD (Crear, Leer, Actualizar y Eliminar) programáticas. Puedes realizar todas estas acciones en tu contenido sin abrir nunca el panel de administración de WordPress.

Como desarrollador, podrías escribir un script que cree 100 entradas en cinco segundos. O extraer todas tus entradas del último mes y generar un informe. O actualizar cada entrada etiquetada como "obsoleta" con un banner de aviso.

Las posibilidades se expanden drásticamente una vez que te das cuenta de que WordPress ya no es solo un sitio web: es una API de contenido que, además, renderiza sitios web.

Comandos comunes de la API REST

La API REST utiliza métodos HTTP estándar para realizar diferentes acciones. Aquí tienes lo que hace cada uno:

Método HTTP	Acción	Ejemplo
GET	Recuperar datos del servidor	Obtener una lista de todas las entradas publicadas
POST	Crear nuevos datos	Añadir una nueva entrada de blog o página
PUT / PATCH	Actualizar datos existentes	Editar el título de una entrada existente
DELETE	Eliminar datos	Eliminar un comentario o archivo multimedia

Las solicitudes GET solo leen datos. Cualquiera puede realizarlas porque no modifican tus datos. Visita un punto de conexión público en tu navegador y estarás realizando una solicitud GET.

Los otros métodos modifican tus datos. Requieren autenticación. WordPress necesita verificar que tienes permiso para crear, actualizar o eliminar contenido antes de procesar esas solicitudes.

Cómo acceder a la API REST de WordPress

La API REST está habilitada por defecto en todos los sitios de WordPress que ejecutan la versión 4.7 o superior. La ruta base es /wp-json/.

Puedes probarlo ahora mismo.

Abre una nueva pestaña en tu navegador y navega a tudominio.com/wp-json/. Verás una respuesta JSON que enumera todas las rutas de la API disponibles. No es bonito, pero confirma que tu API está funcionando.

¿Quieres ver tus entradas? Prueba tudominio.com/wp-json/wp/v2/posts. Obtendrás una matriz JSON de tus entradas publicadas, completa con todos sus metadatos.

Estos puntos de conexión públicos solo muestran datos que ya son visibles públicamente en tu sitio. Pero, ¿qué pasa con las acciones que modifican datos, como crear entradas, actualizar páginas o eliminar comentarios?

Esas requieren autenticación.

WordPress admite dos métodos principales de autenticación. La autenticación por cookies funciona para solicitudes del mismo dominio (como el Editor de Bloques).

Para aplicaciones externas, usarás contraseñas de aplicación. Estos son tokens de 24 caracteres que generas en WordPress, diseñados específicamente para el acceso a la API. Son más seguros que tu contraseña real porque puedes revocarlos individualmente sin cambiar tus credenciales de inicio de sesión principales.

Para generar una, ve a Usuarios » Perfil. Busca la configuración de Contraseñas de aplicación y crea una nueva.

Luego, accede a la API REST con esto:

https://mysite.com/wp-json/wp/v2/posts?Authorization=Bearer[Password]

Asegúrate de reemplazar [Contraseña] con tu contraseña de aplicación y elimina cualquier espacio.

De lo contrario, podrías usar un plugin como JWT Authentication for WP REST API.

Las contraseñas de aplicación son el método preferido. Son seguras, rastreables y no exponen tu contraseña real a aplicaciones de terceros.

Para probar la conexión, usa este comando en una línea de comandos:

curl -X GET --user nombredeusuario:contraseña -i http://tusitio.com/wp-json/wp/v2/posts?status=draft

Cómo usar la API REST de WordPress: Casos de uso comunes

Ahora que entiendes qué es la API REST y cómo funciona, veamos escenarios prácticos en los que tiene sentido usarla.

WordPress sin cabeza

Esto ocurre cuando utilizas WordPress únicamente como backend de gestión de contenido. Tus visitantes nunca ven un tema de WordPress. En su lugar, creas un frontend personalizado utilizando un framework de JavaScript como React, Vue o Next.js.

Ese frontend recupera contenido de la API REST de WordPress y lo renderiza como desees. Obtienes las excelentes herramientas de gestión de contenido de WordPress junto con total libertad de diseño en el frontend.

Aplicaciones móviles

Puedes potenciar una aplicación nativa de iOS o Android completamente con el contenido de tu sitio WordPress. La aplicación realiza solicitudes a la API para obtener publicaciones, mostrar imágenes y ver comentarios.

Tu equipo de contenido gestiona todo desde el panel de WordPress que ya conocen. Los desarrolladores de la aplicación nunca tocan el CMS.

Aplicaciones de página única (SPA)

Estas son aplicaciones web que se cargan una vez y luego obtienen contenido nuevo dinámicamente sin recargas completas de página. La experiencia del usuario se siente más rápida y parecida a una aplicación.

Gmail funciona de esta manera. Cuando haces clic entre correos electrónicos, la página no se recarga; JavaScript obtiene el contenido del correo a través de una API. Puedes crear la misma experiencia con contenido de WordPress.

Sincronización de datos

Extrae datos de WordPress a otra plataforma, o envía datos de un servicio externo a WordPress.

He visto esto utilizado para sincronizar información de productos entre WordPress y sistemas de gestión de inventario. O para crear automáticamente publicaciones de WordPress a partir de datos recopilados en un CRM.

La API REST hace posibles estas integraciones sin una manipulación compleja de la base de datos.

Cuándo no usar la API REST

Si tienes un blog o un sitio web de empresa sencillo, probablemente no necesites tocar la API REST directamente. Un tema de WordPress tradicional maneja todo perfectamente bien.

Cuando la velocidad de carga inicial de la página es tu máxima prioridad, un tema renderizado en servidor a menudo será más rápido.

Las configuraciones sin cabeza requieren JavaScript para obtener y renderizar contenido, lo que añade latencia. Para sitios con mucho contenido donde cada milisegundo de tiempo de carga importa, la arquitectura tradicional de WordPress podría servirte mejor.

Si un plugin fiable y bien soportado ya resuelve tu problema de integración, utiliza el plugin. No crees una solución personalizada de API REST solo porque puedes.

Los plugins se mantienen, prueban y actualizan. Una integración personalizada es deuda técnica que deberás gestionar.

La API REST es potente. Pero la potencia sin propósito crea complejidad innecesaria.

Cómo deshabilitar la API REST de WordPress

Debo empezar con una advertencia: deshabilitar completamente la API REST romperá el Editor de Bloques. Probablemente también romperá varios plugins. Si la deshabilitas por completo y luego te preguntas por qué Gutenberg dejó de funcionar, esta es la razón.

El mejor enfoque es la restricción, no la deshabilitación. Puedes requerir autenticación para todos los puntos de conexión de la API. Esto mantiene el Editor de Bloques funcional para los usuarios conectados mientras bloquea el acceso anónimo a los puntos de conexión públicos.

Si definitivamente quieres deshabilitar la API REST, te recomiendo usar un plugin como WPCode. Tiene un fragmento de código incorporado que se encarga de esta tarea por ti.

Selecciona el fragmento de código e insértalo automáticamente en tu sitio. Activa y actualiza el fragmento para guardar tus cambios.

Cómo solucionar problemas comunes de la API REST

Incluso con la API REST habilitada y funcionando, ocasionalmente te encontrarás con problemas. Estos son los problemas más comunes que he encontrado y cómo solucionarlos.

404 No encontrado

Este es el error que veo con más frecuencia. Intentas acceder a un punto final de la API y WordPress devuelve un 404 como si la página no existiera.

Nueve de cada diez veces, este es un problema de enlaces permanentes. WordPress utiliza reglas de .htaccess (en servidores Apache) para enrutar las solicitudes de la API correctamente. A veces, esas reglas se corrompen o no se regeneran correctamente después de una migración o un cambio de servidor.

Ve a Ajustes » Enlaces permanentes en tu panel de WordPress. No cambies nada. Simplemente haz clic en Guardar cambios. WordPress regenera las reglas de reescritura y tu API vuelve a funcionar.

Errores de autenticación 401 o 403

Un 401 significa "no autorizado": no proporcionaste credenciales. Un 403 significa "prohibido": proporcionaste credenciales, pero no tienen permiso para esta acción.

Comprueba que tu Contraseña de aplicación esté introducida correctamente (sin espacios, nombre de usuario correcto). Verifica que la cuenta de usuario tenga las capacidades adecuadas para lo que intentas hacer.

Conflictos de plugins o temas

A veces, un plugin o tema mal codificado interfiere con la funcionalidad de la API REST. Utiliza el proceso de solución de problemas estándar de WordPress: desactiva todos los plugins, cambia a un tema predeterminado (como Twenty Twenty-Four) y prueba la API.

Si funciona, reactiva los plugins uno por uno hasta que encuentres el culpable. Luego, ponte en contacto con el desarrollador de ese plugin o busca una alternativa.

Errores CORS

Estos aparecen en la consola de tu navegador cuando una aplicación web en un dominio intenta acceder a la API en un dominio diferente. CORS (Cross-Origin Resource Sharing) es una característica de seguridad del navegador. Bloquea estas solicitudes por defecto.

La solución requiere agregar encabezados HTTP específicos en tu servidor de WordPress que permitan explícitamente las solicitudes desde el dominio de tu aplicación. Esto generalmente implica editar tu archivo .htaccess o configurar encabezados en el panel de control de tu hosting.

Si ves errores CORS, estás trabajando con una configuración headless o desacoplada, y necesitarás acceso a nivel de servidor para resolverlos.

Preguntas Frecuentes (FAQs)

El Futuro está Conectado

La REST API de WordPress transforma WordPress de un sistema de gestión de contenido tradicional a un verdadero framework de aplicaciones. Ya no se trata solo de crear sitios web, sino de hacer que tu contenido esté disponible dondequiera que lo necesites.

Esta API es el puente. Conecta WordPress con aplicaciones web modernas, aplicaciones móviles y servicios de terceros. Comprender cómo funciona te ayuda a tomar mejores decisiones sobre la arquitectura de tu sitio, a solucionar problemas más rápido y a comunicarte de manera más efectiva con los desarrolladores.

Los datos de tu sitio de WordPress son el motor de todo, desde las páginas que ven tus visitantes hasta el contenido que tu REST API sirve a otras aplicaciones. Proteger esos datos es innegociable.

Duplicator Pro te ofrece una forma fiable de hacer una copia de seguridad de toda tu instalación de WordPress. Antes de empezar a experimentar con una configuración headless o a conectar una nueva aplicación, realiza una copia de seguridad completa. Con Duplicator Pro, puedes programar copias de seguridad automáticas y tener la tranquilidad de saber que tu valioso contenido está seguro.

Ya que estás aquí, creo que te gustarán estos otros recursos de WordPress seleccionados:

• Cómo instalar WordPress desde SSH como un profesional
• Aprendiendo CSS para WordPress: Técnicas sencillas que desearía haber sabido desde el primer día
• WordPress es arrastrar y soltar, pero aquí te explico por qué sigo usando HTML
• Transforma tu sitio de estático a dinámico con JavaScript de WordPress
• ¿Cuánto se tarda en aprender WordPress en 2025?
• Cómo usar la CLI de WordPress: Domina la línea de comandos