WordPress REST API per principianti: accedi ai tuoi contenuti ovunque

La REST API trasforma WordPress in qualcosa di più di un tradizionale sistema di gestione dei contenuti. Diventa un framework applicativo.

Altri programmi, che si tratti di app mobili, siti web personalizzati o servizi di terze parti, possono comunicare con il tuo sito WordPress, richiedere dati e persino modificare contenuti.

Potresti pensare che questo sia un territorio puramente per sviluppatori. Non lo è.

La REST API alimenta funzionalità che probabilmente usi ogni giorno. L'editor a blocchi? Quella è la REST API al lavoro. Ogni volta che aggiungi un blocco o salvi una bozza di post, stai effettuando chiamate API dietro le quinte.

In questo post, spiegherò cos'è la REST API di WordPress, cosa fa effettivamente e come gestirla sul tuo sito.

Ecco i punti chiave:

• La REST API di WordPress è integrata nel core di WordPress e consente alle applicazioni esterne di leggere e modificare i tuoi contenuti tramite semplici URL
• La stai già usando; l'editor a blocchi si basa sulla REST API per ogni blocco che aggiungi e ogni bozza che salvi
• Abilita WordPress headless, app mobili e applicazioni a pagina singola servendo i tuoi contenuti come dati JSON che qualsiasi piattaforma può consumare
• Gli endpoint pubblici (come /wp-json/wp/v2/posts) funzionano immediatamente, ma la creazione o la modifica di contenuti richiede l'autenticazione tramite password dell'applicazione
• La maggior parte dei problemi della REST API (errori 404, fallimenti di autenticazione) può essere risolta salvando nuovamente i tuoi permalink o controllando la configurazione della tua password dell'applicazione

Indice

Cos'è la REST API di WordPress?

La REST API di WordPress è un'interfaccia integrata che consente ad altri sistemi di interagire con i tuoi dati WordPress. Pensala come un ponte tra il tuo sito WordPress e il mondo esterno.

È inclusa nel core di WordPress. Non è necessario installare nulla di aggiuntivo; è già lì, in attesa di essere utilizzata.

L'API utilizza JSON (JavaScript Object Notation) come formato dati. JSON è un modo leggero per strutturare i dati come testo. È leggibile dall'uomo, il che significa che puoi effettivamente guardarlo e capire cosa stai vedendo.

Un post del blog in formato JSON appare come un elenco ordinato di proprietà: titolo, contenuto, autore, data di pubblicazione e così via.

Ecco perché è importante: la REST API abilita il "disaccoppiamento". Puoi gestire i tuoi contenuti in WordPress ma visualizzare tali contenuti ovunque. Su un'app mobile. Su un sito web diverso. In un chiosco digitale. In un'applicazione personalizzata creata da zero dal tuo team.

I tuoi contenuti vivono in un unico posto. Ma possono apparire ovunque.

Cos'è un'API (Application Programming Interface)?

Mi piace spiegare le API con l'analogia del ristorante perché funziona davvero.

Sei seduto a un tavolo. Vuoi del cibo. Ma non puoi semplicemente entrare in cucina e iniziare a prendere le cose dal frigorifero. Hai bisogno di un intermediario: quello è il cameriere.

Dici al cameriere il tuo ordine (la tua richiesta). Il cameriere lo porta in cucina (il server/database). La cucina prepara il tuo cibo. Il cameriere te lo riporta (la risposta).

Un'API è il cameriere. È l'intermediario tra un'applicazione che desidera dati e il sistema che possiede tali dati. L'API accetta richieste, comunica con i sistemi appropriati e restituisce i risultati in un formato che l'applicazione richiedente può comprendere.

Senza l'API, le applicazioni avrebbero bisogno di accesso diretto al tuo database. Sarebbe disordinato, insicuro e quasi impossibile da gestire su larga scala.

Cos'è Representational State Transfer (REST)?

REST è un insieme di regole architetturali per la creazione di API. Quando un'API segue queste regole, la chiamiamo "RESTful". L'API REST di WordPress segue questi principi, motivo per cui ha "REST" nel suo nome.

Ecco i concetti fondamentali:

Senza stato (Stateless)

Il server non ricorda le richieste precedenti. Ogni richiesta che fai deve includere tutto ciò di cui il server ha bisogno per elaborarla. Non puoi presumere che il server sappia cosa hai chiesto cinque secondi fa.

Questo sembra limitante, ma è in realtà ciò che rende le API REST scalabili. Il server non spreca risorse nel tracciare gli stati di sessione per migliaia di richieste simultanee.

Client-Server

Il client (l'app che effettua le richieste) e il server (il tuo sito WordPress) sono completamente separati. Possono essere sviluppati in modo indipendente. La tua app React non si preoccupa se WordPress viene aggiornato alla versione 6.5 o 7.0, purché gli endpoint dell'API rimangano coerenti.

Interfaccia Uniforme

Le API REST utilizzano metodi HTTP standard come GET, POST, PUT e DELETE. Questa standardizzazione rende l'API prevedibile. Gli sviluppatori che hanno familiarità con REST possono apprendere rapidamente l'API di WordPress perché segue convenzioni che già conoscono.

Questi principi non sono solo accademici. Rendono l'API REST di WordPress affidabile, prevedibile e facile da usare.

Cosa fa la REST API di WordPress?

L'API REST espone i tuoi dati di WordPress tramite URL chiamati "endpoint". Un endpoint è un indirizzo specifico dove puoi richiedere dati particolari.

Ad esempio: /wp-json/wp/v2/posts è l'endpoint per i tuoi post del blog. Visita quell'URL sul tuo sito e otterrai una risposta JSON contenente i tuoi post: titoli, contenuti, autori, immagini in evidenza, tutto.

Questa è la tecnologia che alimenta l'Editor a Blocchi. Quando lavori in Gutenberg, ogni azione che intraprendi innesca una chiamata API.

Aggiungere un blocco paragrafo? Chiamata API. Caricare un'immagine? Chiamata API. Salvare la bozza? Chiamata API. L'interfaccia dell'editor è essenzialmente un'applicazione JavaScript che parla con il tuo sito WordPress tramite l'API REST.

L'API consente operazioni CRUD (Create, Read, Update, Delete) programmatiche. Puoi eseguire tutte queste azioni sul tuo contenuto senza mai aprire la dashboard di WordPress.

Come sviluppatore, potresti scrivere uno script che crea 100 post in cinque secondi. Oppure recuperare tutti i tuoi post dell'ultimo mese e generare un report. Oppure aggiornare ogni post etichettato come "obsoleto" con un banner di avviso.

Le possibilità si espandono notevolmente una volta che ti rendi conto che WordPress non è più solo un sito web: è un'API di contenuti che, tra le altre cose, visualizza anche siti web.

Comandi comuni della REST API

L'API REST utilizza metodi HTTP standard per eseguire diverse azioni. Ecco cosa fa ciascuno:

Metodo HTTP	Azione	Esempio
GET	Recupera dati dal server	Recupera un elenco di tutti i post pubblicati
POST	Crea nuovi dati	Aggiungi un nuovo post o pagina del blog
PUT / PATCH	Aggiorna dati esistenti	Modifica il titolo di un post esistente
DELETE	Rimuovi dati	Elimina un commento o un file multimediale

Le richieste GET sono di sola lettura. Chiunque può effettuarle perché non modificano i tuoi dati. Visita un endpoint pubblico nel tuo browser e stai effettuando una richiesta GET.

Gli altri metodi modificano i tuoi dati. Richiedono l'autenticazione. WordPress deve verificare che tu abbia il permesso di creare, aggiornare o eliminare contenuti prima di elaborare tali richieste.

Come accedere alla REST API di WordPress

L'API REST è abilitata per impostazione predefinita su ogni sito WordPress che esegue la versione 4.7 o successiva. Il percorso di base è /wp-json/.

Puoi testarlo subito.

Apri una nuova scheda del browser e naviga su tuodominio.com/wp-json/. Vedrai una risposta JSON che elenca tutte le route API disponibili. Non è bello da vedere, ma conferma che la tua API funziona.

Vuoi vedere i tuoi post? Prova tuodominio.com/wp-json/wp/v2/posts. Otterrai un array JSON dei tuoi post pubblicati, completo di tutti i loro metadati.

Questi endpoint pubblici mostrano solo dati già visibili pubblicamente sul tuo sito. Ma che dire delle azioni che modificano i dati, come la creazione di post, l'aggiornamento di pagine o l'eliminazione di commenti?

Questi richiedono l'autenticazione.

WordPress supporta due metodi di autenticazione principali. L'autenticazione tramite cookie funziona per le richieste sulla stessa pagina (come l'Editor a blocchi).

Per le applicazioni esterne, userai le password per le applicazioni. Si tratta di token di 24 caratteri che generi in WordPress, specificamente progettati per l'accesso API. Sono più sicuri della tua password effettiva perché puoi revocarli individualmente senza modificare le tue credenziali di accesso principali.

Per generarne una, vai su Utenti » Profilo. Trova le impostazioni delle Password per le applicazioni e creane una nuova.

Quindi, accedi all'API REST con questo:

https://mysite.com/wp-json/wp/v2/posts?Authorization=Bearer[Password]

Assicurati di sostituire [Password] con la tua password per l'applicazione e rimuovi eventuali spazi.

Altrimenti, potresti usare un plugin come JWT Authentication for WP REST API.

Le password per le applicazioni sono il metodo preferito. Sono sicure, tracciabili e non espongono la tua password reale ad applicazioni di terze parti.

Per testare la connessione, usa questo comando in una riga di comando:

curl -X GET --user username:password -i http://tuosito.com/wp-json/wp/v2/posts?status=draft

Come usare l'API REST di WordPress: Casi d'uso comuni

Ora che hai capito cos'è l'API REST e come funziona, diamo un'occhiata a scenari pratici in cui ha senso utilizzarla.

WordPress Headless

Questo si verifica quando si utilizza WordPress puramente come backend di gestione dei contenuti. I tuoi visitatori non vedranno mai un tema WordPress. Invece, costruisci un frontend personalizzato utilizzando un framework JavaScript come React, Vue o Next.js.

Quel frontend recupera i contenuti dall'API REST di WordPress e li renderizza come desideri. Ottieni gli eccellenti strumenti di gestione dei contenuti di WordPress abbinati a una completa libertà di progettazione sul frontend.

App Mobili

Puoi alimentare un'app nativa iOS o Android interamente con i contenuti del tuo sito WordPress. L'app effettua richieste API per recuperare post, visualizzare immagini e mostrare commenti.

Il tuo team di contenuti gestisce tutto dalla dashboard di WordPress che già conosce. Gli sviluppatori dell'app non toccano mai il CMS.

Single Page Applications (SPA)

Queste sono applicazioni web che si caricano una volta e poi recuperano nuovi contenuti dinamicamente senza ricaricare completamente la pagina. L'esperienza utente risulta più veloce e simile a un'app.

Gmail funziona in questo modo. Quando fai clic tra le email, la pagina non si ricarica: JavaScript recupera il contenuto dell'email tramite un'API. Puoi creare la stessa esperienza con i contenuti di WordPress.

Sincronizzazione Dati

Estrai dati da WordPress in un'altra piattaforma o invia dati da un servizio esterno a WordPress.

Ho visto questo utilizzato per sincronizzare le informazioni sui prodotti tra WordPress e i sistemi di gestione dell'inventario. Oppure per creare automaticamente post di WordPress dai dati raccolti in un CRM.

L'API REST rende possibili queste integrazioni senza complesse manipolazioni del database.

Quando non usare la REST API

Se gestisci un blog o un sito web aziendale semplice, probabilmente non avrai bisogno di toccare direttamente l'API REST. Un tema WordPress tradizionale gestisce tutto perfettamente.

Quando la velocità di caricamento iniziale della pagina è la tua priorità assoluta, un tema renderizzato lato server sarà spesso più veloce.

Le configurazioni headless richiedono JavaScript per recuperare e renderizzare i contenuti, il che aggiunge latenza. Per i siti ricchi di contenuti in cui ogni millisecondo di tempo di caricamento è importante, l'architettura WordPress tradizionale potrebbe servirti meglio.

Se un plugin affidabile e ben supportato risolve già il tuo problema di integrazione, usa il plugin. Non creare una soluzione API REST personalizzata solo perché puoi.

I plugin vengono mantenuti, testati e aggiornati. Un'integrazione personalizzata è un debito tecnico che dovrai gestire.

L'API REST è potente. Ma il potere senza scopo crea complessità non necessaria.

Come disabilitare la REST API di WordPress

Devo iniziare con un avvertimento: disabilitare completamente l'API REST interromperà l'Editor a Blocchi. Probabilmente interromperà anche diversi plugin. Se la disabiliti del tutto e poi ti chiedi perché Gutenberg ha smesso di funzionare, questo è il motivo.

L'approccio migliore è la restrizione, non la disabilitazione. Puoi richiedere l'autenticazione per tutti gli endpoint API. Questo mantiene l'Editor a Blocchi funzionale per gli utenti connessi, bloccando al contempo l'accesso anonimo agli endpoint pubblici.

Se vuoi assolutamente disabilitare l'API REST, ti consiglio di utilizzare un plugin come WPCode. Ha uno snippet di codice integrato che gestisce questo compito per te.

Seleziona lo snippet di codice e inseriscilo automaticamente nel tuo sito. Attiva e aggiorna lo snippet per salvare le modifiche.

Come risolvere i problemi comuni dell'API REST

Anche con l'API REST abilitata e funzionante, occasionalmente incontrerai problemi. Ecco i problemi più comuni che ho riscontrato e come risolverli.

404 Non trovato

Questo è l'errore che vedo più spesso. Provi ad accedere a un endpoint API e WordPress restituisce un 404 come se la pagina non esistesse.

Nove volte su dieci, questo è un problema di permalink. WordPress utilizza le regole .htaccess (sui server Apache) per instradare correttamente le richieste API. A volte queste regole vengono corrotte o non vengono rigenerate correttamente dopo una migrazione o un cambio di server.

Vai su Impostazioni » Permalink nella tua bacheca di WordPress. Non cambiare nulla. Fai semplicemente clic su Salva modifiche. WordPress rigenera le regole di riscrittura e la tua API ricomincia a funzionare.

Errori di autenticazione 401 o 403

Un 401 significa "non autorizzato" - non hai fornito le credenziali. Un 403 significa "proibito" - hai fornito le credenziali, ma non hanno il permesso per questa azione.

Verifica che la tua Password applicazione sia inserita correttamente (senza spazi, nome utente corretto). Verifica che l'account utente abbia le autorizzazioni corrette per ciò che stai cercando di fare.

Conflitti tra plugin o temi

A volte un plugin o un tema codificato male interferisce con la funzionalità dell'API REST. Utilizza il processo di risoluzione dei problemi standard di WordPress: disabilita tutti i plugin, passa a un tema predefinito (come Twenty Twenty-Four) e testa l'API.

Se funziona, riattiva i plugin uno per uno finché non trovi il colpevole. Quindi contatta lo sviluppatore di quel plugin o trova un'alternativa.

Errori CORS

Questi appaiono nella console del tuo browser quando un'applicazione web su un dominio tenta di accedere all'API su un dominio diverso. CORS (Cross-Origin Resource Sharing) è una funzionalità di sicurezza del browser. Blocca queste richieste per impostazione predefinita.

La soluzione richiede l'aggiunta di intestazioni HTTP specifiche sul tuo server WordPress che consentano esplicitamente le richieste dal dominio della tua applicazione. Questo di solito comporta la modifica del file .htaccess o la configurazione delle intestazioni nel pannello di controllo del tuo hosting.

Se vedi errori CORS, stai lavorando con una configurazione headless o disaccoppiata e avrai bisogno di accesso a livello di server per risolverli.

Domande frequenti (FAQ)

Il Futuro è Connesso

La REST API di WordPress trasforma WordPress da un tradizionale sistema di gestione dei contenuti a un vero framework di applicazioni. Non si tratta più solo di creare siti web, ma di rendere i tuoi contenuti disponibili ovunque tu ne abbia bisogno.

Questa API è il ponte. Collega WordPress alle moderne applicazioni web, alle app mobili e ai servizi di terze parti. Capire come funziona ti aiuta a prendere decisioni migliori sull'architettura del tuo sito, a risolvere i problemi più velocemente e a comunicare in modo più efficace con gli sviluppatori.

I dati del tuo sito WordPress sono il motore di tutto, dalle pagine che i tuoi visitatori vedono ai contenuti che la tua REST API serve ad altre applicazioni. Proteggere quei dati è non negoziabile.

Duplicator Pro ti offre un modo affidabile per eseguire il backup della tua intera installazione di WordPress. Prima di iniziare a sperimentare con una configurazione headless o a collegare una nuova app, esegui un backup completo. Con Duplicator Pro, puoi pianificare backup automatici e avere la tranquillità di sapere che i tuoi preziosi contenuti sono al sicuro.

Mentre sei qui, penso che ti piaceranno queste altre risorse WordPress selezionate con cura:

• Come installare WordPress da SSH come un professionista
• Imparare il CSS di WordPress: tecniche semplici che avrei voluto conoscere fin dal primo giorno
• WordPress è Drag & Drop, ma ecco perché mi diverto ancora con l'HTML
• Trasforma il tuo sito da statico a dinamico con JavaScript di WordPress
• Quanto tempo ci vuole per imparare WordPress nel 2025?
• Come Usare WordPress CLI: Padroneggia la Riga di Comando