wordpress

核心用法

WordPress REST API Skill 是一款面向生产环境的命令行工具，专为 WordPress 站点的内容自动化而设计。用户通过配置环境变量（WP_BASE_URL 及认证凭证）后，即可使用 wp-cli.js 脚本执行文章、页面、分类、标签和用户的 CRUD 操作。支持 JSON 文件导入（@path 语法）、查询参数构造（--query）以及原始 HTTP 请求，输出为标准 JSON 格式，便于集成到 CI/CD 管道或自动化工作流中。

显著优点

1. 零依赖架构：仅使用 Node.js 18+ 原生 fetch，无第三方 npm 包，彻底消除供应链攻击风险。
2. 多重认证支持：兼容 Basic Token、应用密码、JWT Bearer 三种主流认证方式，灵活适配不同安全策略的 WordPress 站点。
3. 简洁的 CLI 设计：命令结构清晰（posts:list、、pages:create` 等），支持管道化 JSON 输入输出，适合 DevOps 场景。
4. 安全编码实践：凭证完全通过环境变量管理，无硬编码；无动态代码执行或系统命令调用。

潜在缺点与局限性

• 功能边界明确：不支持 OAuth 流程、浏览器认证及复杂媒体上传（multipart 流式传输），高级场景需额外工具补充。
• 文件读取风险：@path 语法加载 JSON 文件时缺乏路径遍历防护，恶意构造的相对路径可能读取敏感文件。
• 目标站点依赖：安全性高度依赖用户配置的 WP_BASE_URL，若指向恶意站点可能导致凭证泄露。
• 无内置重试机制：虽文档建议在外部编排器实现 429/5xx 重试，但原生缺乏容错能力。

适合的目标群体

• 内容运营团队：需要批量发布、更新 WordPress 文章/页面的自动化需求。
• DevOps 工程师：构建站点备份、内容同步、多环境部署的 CI/CD 流水线。
• 开发者与代理商：管理多个 WordPress 客户站点，需标准化 CLI 工具降低维护成本。

使用风险

• 凭证管理：应用密码和 JWT Token 需严格保密，建议配置专用低权限账户并定期轮换。
• 网络传输安全：依赖目标站点的 HTTPS 配置，需确保证书有效、TLS 版本合规。
• 性能瓶颈：大规模内容操作（如全站导出）可能触发 WordPress 的速率限制，需配合延迟策略。