L'API REST WordPress pour les débutants : Accédez à votre contenu n'importe où

L'API REST transforme WordPress en quelque chose de plus qu'un système de gestion de contenu traditionnel. Il devient un framework d'applications.

D'autres programmes — qu'il s'agisse d'applications mobiles, de sites Web personnalisés ou de services tiers — peuvent communiquer avec votre site WordPress, demander des données et même modifier le contenu.

Vous pourriez penser que c'est un territoire purement réservé aux développeurs. Il n'en est rien.

L'API REST alimente des fonctionnalités que vous utilisez probablement tous les jours. L'éditeur de blocs ? C'est l'API REST au travail. Chaque fois que vous ajoutez un bloc ou enregistrez un brouillon de publication, vous effectuez des appels d'API en coulisses.

Dans cet article, je vais expliquer ce qu'est l'API REST de WordPress, ce qu'elle fait réellement et comment la gérer sur votre site.

Voici les points clés à retenir :

• L'API REST de WordPress est intégrée au cœur de WordPress et permet aux applications externes de lire et de modifier votre contenu via de simples URL.
• Vous l'utilisez déjà ; l'éditeur de blocs s'appuie sur l'API REST pour chaque bloc que vous ajoutez et chaque brouillon que vous enregistrez.
• Elle permet le WordPress headless, les applications mobiles et les applications monopages en servant votre contenu sous forme de données JSON que toute plateforme peut consommer.
• Les points d'accès publics (comme /wp-json/wp/v2/posts) fonctionnent immédiatement, mais la création ou la modification de contenu nécessite une authentification via des mots de passe d'application.
• La plupart des problèmes d'API REST (erreurs 404, échecs d'authentification) peuvent être résolus en réenregistrant vos permaliens ou en vérifiant la configuration de votre mot de passe d'application.

Table des matières

Qu'est-ce que l'API REST de WordPress ?

L'API REST de WordPress est une interface intégrée qui permet à d'autres systèmes d'interagir avec vos données WordPress. Considérez-la comme un pont entre votre site WordPress et le monde extérieur.

Elle est fournie avec le cœur de WordPress. Vous n'avez rien d'autre à installer ; elle est déjà là, prête à être utilisée.

L'API utilise JSON (JavaScript Object Notation) comme format de données. JSON est un moyen léger de structurer les données sous forme de texte. Il est lisible par l'homme, ce qui signifie que vous pouvez le regarder et comprendre ce que vous voyez.

Un article de blog en JSON ressemble à une liste ordonnée de propriétés : titre, contenu, auteur, date de publication, etc.

Voici pourquoi c'est important : l'API REST permet le « découplage ». Vous pouvez gérer votre contenu dans WordPress mais afficher ce contenu n'importe où. Sur une application mobile. Sur un autre site Web. Dans un kiosque numérique. Dans une application personnalisée que votre équipe a créée à partir de zéro.

Votre contenu vit en un seul endroit. Mais il peut apparaître partout.

Qu'est-ce qu'une interface de programmation d'applications (API) ?

J'aime expliquer les API avec l'analogie du restaurant car elle fonctionne vraiment.

Vous êtes assis à une table. Vous voulez manger. Mais vous ne pouvez pas simplement entrer dans la cuisine et commencer à sortir des choses du réfrigérateur. Vous avez besoin d'un intermédiaire : c'est le serveur.

Vous dites au serveur votre commande (votre requête). Le serveur l'apporte à la cuisine (le serveur/la base de données). La cuisine prépare votre repas. Le serveur vous le ramène (la réponse).

Une API est le serveur. C’est l’intermédiaire entre une application qui veut des données et le système qui détient ces données. L’API prend les requêtes, communique avec les bons systèmes et livre les résultats dans un format que l’application demandeuse peut comprendre.

Sans l’API, les applications auraient besoin d’un accès direct à votre base de données. Ce serait désordonné, non sécurisé et presque impossible à gérer à grande échelle.

Qu’est-ce que Representational State Transfer (REST) ?

REST est un ensemble de règles architecturales pour la création d’API. Lorsqu’une API suit ces règles, nous l’appelons « RESTful ». L’API REST de WordPress suit ces principes, c’est pourquoi elle contient « REST » dans son nom.

Voici les concepts clés :

Sans état

Le serveur ne se souvient pas des requêtes précédentes. Chaque requête que vous effectuez doit inclure tout ce dont le serveur a besoin pour la traiter. Vous ne pouvez pas supposer que le serveur sait ce que vous avez demandé il y a cinq secondes.

Cela peut sembler limitatif, mais c’est en fait ce qui rend les API REST évolutives. Le serveur ne gaspille pas de ressources à suivre les états de session pour des milliers de requêtes simultanées.

Client-Serveur

Le client (l’application qui fait les requêtes) et le serveur (votre site WordPress) sont complètement séparés. Ils peuvent être développés indépendamment. Votre application React ne se soucie pas de savoir si WordPress est mis à jour vers la version 6.5 ou 7.0, tant que les points de terminaison de l’API restent cohérents.

Interface uniforme

Les API REST utilisent des méthodes HTTP standard comme GET, POST, PUT et DELETE. Cette standardisation rend l’API prévisible. Les développeurs familiers avec REST peuvent rapidement prendre en main l’API WordPress car elle suit des conventions qu’ils connaissent déjà.

Ces principes ne sont pas seulement théoriques. Ils rendent l’API REST de WordPress fiable, prévisible et facile à utiliser.

Que fait l'API REST de WordPress ?

L’API REST expose vos données WordPress via des URL appelées « points de terminaison ». Un point de terminaison est une adresse spécifique où vous pouvez demander des données particulières.

Par exemple : /wp-json/wp/v2/posts est le point de terminaison de vos articles de blog. Visitez cette URL sur votre site, et vous obtiendrez une réponse JSON contenant vos articles — titres, contenu, auteurs, images mises en avant, tout.

C’est la technologie qui alimente l’Éditeur de blocs. Lorsque vous travaillez dans Gutenberg, chaque action que vous effectuez déclenche un appel API.

Ajouter un bloc de paragraphe ? Appel API. Télécharger une image ? Appel API. Enregistrer votre brouillon ? Appel API. L’interface de l’éditeur est essentiellement une application JavaScript qui communique avec votre site WordPress via l’API REST.

L’API permet des opérations CRUD (Créer, Lire, Mettre à jour et Supprimer) par programme. Vous pouvez effectuer toutes ces actions sur votre contenu sans jamais ouvrir le tableau de bord WordPress.

En tant que développeur, vous pourriez écrire un script qui crée 100 articles en cinq secondes. Ou extraire tous vos articles du mois dernier et générer un rapport. Ou mettre à jour chaque article étiqueté « obsolète » avec une bannière de déni.

Les possibilités se développent considérablement une fois que vous réalisez que WordPress n’est plus seulement un site Web — c’est une API de contenu qui se trouve également rendre des sites Web.

Commandes courantes de l'API REST

L’API REST utilise des méthodes HTTP standard pour effectuer différentes actions. Voici ce que fait chacune d’elles :

Méthode HTTP	Action	Exemple
GET	Récupérer les données du serveur	Récupérer une liste de tous les articles publiés
POST	Créer de nouvelles données	Ajouter un nouvel article de blog ou une nouvelle page
PUT / PATCH	Mettre à jour les données existantes	Modifier le titre d'un article existant
DELETE	Supprimer des données	Supprimer un commentaire ou un fichier multimédia

Les requêtes GET sont en lecture seule. N'importe qui peut les effectuer car elles ne modifient pas vos données. Visitez un point d'accès public dans votre navigateur, et vous effectuez une requête GET.

Les autres méthodes modifient vos données. Elles nécessitent une authentification. WordPress doit vérifier que vous avez l'autorisation de créer, mettre à jour ou supprimer du contenu avant de traiter ces requêtes.

Comment accéder à l'API REST de WordPress

L'API REST est activée par défaut sur tous les sites WordPress exécutant la version 4.7 ou supérieure. Le chemin de base est /wp-json/.

Vous pouvez tester cela dès maintenant.

Ouvrez un nouvel onglet de navigateur et accédez à votredomaine.com/wp-json/. Vous verrez une réponse JSON listant toutes les routes d'API disponibles. Ce n'est pas joli, mais cela confirme que votre API fonctionne.

Vous voulez voir vos articles ? Essayez votredomaine.com/wp-json/wp/v2/posts. Vous obtiendrez un tableau JSON de vos articles publiés, avec toutes leurs métadonnées.

Ces points d'accès publics n'affichent que les données déjà visibles publiquement sur votre site. Mais qu'en est-il des actions qui modifient les données, comme la création d'articles, la mise à jour de pages ou la suppression de commentaires ?

Ceux-ci nécessitent une authentification.

WordPress prend en charge deux méthodes d'authentification principales. L'authentification par cookie fonctionne pour les requêtes du même domaine (comme l'éditeur de blocs).

Pour les applications externes, vous utiliserez des mots de passe d'application. Ce sont des jetons de 24 caractères que vous générez dans WordPress, spécifiquement conçus pour l'accès à l'API. Ils sont plus sécurisés que votre mot de passe réel car vous pouvez les révoquer individuellement sans changer vos informations de connexion principales.

Pour en générer un, allez dans Utilisateurs » Profil. Trouvez les paramètres des Mots de passe d'application et créez-en un nouveau.

Ensuite, accédez à l'API REST avec ceci :

https://mysite.com/wp-json/wp/v2/posts?Authorization=Bearer[Password]

Assurez-vous de remplacer [Mot de passe] par votre mot de passe d'application et supprimez les espaces.

Sinon, vous pourriez utiliser un plugin comme JWT Authentication for WP REST API.

Les mots de passe d'application sont la méthode préférée. Ils sont sécurisés, traçables et n'exposent pas votre vrai mot de passe aux applications tierces.

Pour tester la connexion, utilisez cette commande dans une ligne de commande :

curl -X GET --user nomdutilisateur:motdepasse -i http://votre-site.com/wp-json/wp/v2/posts?status=draft

Comment utiliser l'API REST de WordPress : cas d'utilisation courants

Maintenant que vous comprenez ce qu'est l'API REST et comment elle fonctionne, examinons les scénarios pratiques où son utilisation est pertinente.

WordPress sans tête

C'est lorsque vous utilisez WordPress uniquement comme backend de gestion de contenu. Vos visiteurs ne voient jamais de thème WordPress. Au lieu de cela, vous créez un frontend personnalisé à l'aide d'un framework JavaScript comme React, Vue ou Next.js.

Ce frontend récupère le contenu de l'API REST WordPress et le rend comme vous le souhaitez. Vous bénéficiez des excellents outils de gestion de contenu de WordPress associés à une liberté de conception complète sur le frontend.

Applications mobiles

Vous pouvez alimenter entièrement une application native iOS ou Android avec le contenu de votre site WordPress. L'application effectue des requêtes API pour récupérer des articles, afficher des images et montrer des commentaires.

Votre équipe de contenu gère tout depuis le tableau de bord WordPress qu'elle connaît déjà. Les développeurs d'applications ne touchent jamais au CMS.

Applications monopages (SPA)

Ce sont des applications web qui se chargent une fois, puis récupèrent dynamiquement du nouveau contenu sans rechargement complet de la page. L'expérience utilisateur semble plus rapide et plus proche d'une application.

Gmail fonctionne de cette manière. Lorsque vous cliquez entre les e-mails, la page ne se recharge pas : JavaScript récupère le contenu de l'e-mail via une API. Vous pouvez créer la même expérience avec le contenu WordPress.

Synchronisation des données

Extraire des données de WordPress vers une autre plateforme, ou pousser des données d'un service externe vers WordPress.

J'ai vu cela utilisé pour synchroniser les informations produit entre WordPress et les systèmes de gestion des stocks. Ou pour créer automatiquement des articles WordPress à partir de données collectées dans un CRM.

L'API REST rend ces intégrations possibles sans manipulation complexe de la base de données.

Quand ne pas utiliser l'API REST

Si vous gérez un blog ou un site web d'entreprise simple, vous n'avez probablement pas besoin de toucher directement à l'API REST. Un thème WordPress traditionnel gère tout parfaitement bien.

Lorsque la vitesse de chargement initiale de la page est votre priorité absolue, un thème rendu côté serveur sera souvent plus rapide.

Les configurations sans tête nécessitent JavaScript pour récupérer et rendre le contenu, ce qui ajoute de la latence. Pour les sites riches en contenu où chaque milliseconde de temps de chargement compte, une architecture WordPress traditionnelle pourrait mieux vous servir.

Si un plugin fiable et bien pris en charge résout déjà votre problème d'intégration, utilisez le plugin. Ne créez pas une solution d'API REST personnalisée juste parce que vous le pouvez.

Les plugins sont maintenus, testés et mis à jour. Une intégration personnalisée est une dette technique que vous devrez gérer.

L'API REST est puissante. Mais la puissance sans but crée une complexité inutile.

Comment désactiver l'API REST de WordPress

Je dois commencer par un avertissement : désactiver complètement l'API REST cassera l'éditeur de blocs. Cela cassera probablement aussi plusieurs plugins. Si vous la désactivez entièrement et vous demandez ensuite pourquoi Gutenberg a cessé de fonctionner, voici pourquoi.

La meilleure approche est la restriction, pas la désactivation. Vous pouvez exiger l'authentification pour tous les points d'accès API. Cela maintient l'éditeur de blocs fonctionnel pour les utilisateurs connectés tout en bloquant l'accès anonyme aux points d'accès publics.

Si vous souhaitez absolument désactiver l'API REST, je vous recommande d'utiliser un plugin comme WPCode. Il dispose d'un extrait de code intégré qui gère cette tâche pour vous.

Sélectionnez l'extrait de code et insérez-le automatiquement sur votre site. Activez et mettez à jour l'extrait pour enregistrer vos modifications.

Comment résoudre les problèmes courants de l’API REST

Même si l’API REST est activée et fonctionne, vous rencontrerez occasionnellement des problèmes. Voici les problèmes les plus courants que j’ai rencontrés et comment les résoudre.

404 Non trouvé

C’est l’erreur que je vois le plus souvent. Vous essayez d’accéder à un point de terminaison d’API, et WordPress renvoie un 404 comme si la page n’existait pas.

Neuf fois sur dix, il s’agit d’un problème de permaliens. WordPress utilise les règles .htaccess (sur les serveurs Apache) pour acheminer correctement les requêtes d’API. Parfois, ces règles sont corrompues ou ne sont pas régénérées correctement après une migration ou un changement de serveur.

Accédez à Paramètres » Permaliens dans votre tableau de bord WordPress. Ne changez rien. Cliquez simplement sur Enregistrer les modifications. WordPress régénère les règles de réécriture, et votre API recommence à fonctionner.

Erreurs d’authentification 401 ou 403

Un 401 signifie « non autorisé » — vous n’avez pas fourni d’informations d’identification. Un 403 signifie « interdit » — vous avez fourni des informations d’identification, mais elles n’ont pas la permission pour cette action.

Vérifiez que votre mot de passe d’application est correctement saisi (pas d’espaces, nom d’utilisateur correct). Vérifiez que le compte utilisateur a les bonnes capacités pour ce que vous essayez de faire.

Conflits de plugins ou de thèmes

Parfois, un plugin ou un thème mal codé interfère avec la fonctionnalité de l’API REST. Utilisez le processus de dépannage standard de WordPress : désactivez tous les plugins, basculez vers un thème par défaut (comme Twenty Twenty-Four) et testez l’API.

Si cela fonctionne, réactivez les plugins un par un jusqu’à ce que vous trouviez le coupable. Ensuite, contactez le développeur de ce plugin ou trouvez une alternative.

Erreurs CORS

Celles-ci apparaissent dans la console de votre navigateur lorsqu’une application web sur un domaine tente d’accéder à l’API sur un domaine différent. CORS (Cross-Origin Resource Sharing) est une fonctionnalité de sécurité du navigateur. Elle bloque ces requêtes par défaut.

La solution nécessite l’ajout d’en-têtes HTTP spécifiques sur votre serveur WordPress qui autorisent explicitement les requêtes du domaine de votre application. Cela implique généralement de modifier votre fichier .htaccess ou de configurer les en-têtes dans votre panneau de contrôle d’hébergement.

Si vous voyez des erreurs CORS, vous travaillez avec une configuration headless ou découplée, et vous aurez besoin d’un accès au niveau du serveur pour les résoudre.

Questions fréquemment posées (FAQ)

Le Futur est Connecté

L'API REST de WordPress transforme WordPress d'un système de gestion de contenu traditionnel en un véritable framework d'applications. Il ne s'agit plus seulement de créer des sites Web, il s'agit de rendre votre contenu disponible partout où vous en avez besoin.

Cette API est le pont. Elle connecte WordPress aux applications Web modernes, aux applications mobiles et aux services tiers. Comprendre son fonctionnement vous aide à prendre de meilleures décisions concernant l'architecture de votre site, à résoudre les problèmes plus rapidement et à communiquer plus efficacement avec les développeurs.

Les données de votre site WordPress sont le moteur de tout, des pages que vos visiteurs voient au contenu que votre API REST sert aux autres applications. La protection de ces données est non négociable.

Duplicator Pro vous offre un moyen fiable de sauvegarder l'intégralité de votre installation WordPress. Avant de commencer à expérimenter une configuration headless ou à connecter une nouvelle application, exécutez une sauvegarde complète. Avec Duplicator Pro, vous pouvez planifier des sauvegardes automatiques et avoir l'esprit tranquille en sachant que votre précieux contenu est en sécurité.

Pendant que vous êtes ici, je pense que vous aimerez ces autres ressources WordPress triées sur le volet :

• Comment installer WordPress depuis SSH comme un pro
• Apprendre le CSS WordPress : techniques simples que j'aurais aimé connaître dès le premier jour
• WordPress est glisser-déposer, mais voici pourquoi je manipule toujours le HTML
• Transformez votre site de statique en dynamique avec JavaScript WordPress
• Combien de temps faut-il pour apprendre WordPress en 2025 ?
• Comment utiliser l'interface de ligne de commande WordPress : maîtrisez la ligne de commande