API endpoint: jak zpřístupnit data a funkce WordPress webu pro AI a aplikace

Když chcete, aby k vašim datům a funkcím webu mohly přistupovat jiné aplikace – mobilní aplikace, AI agenti, partnerské weby, integrace třetích stran – potřebujete API endpointy. Jsou to standardizované „dveře“ do vašeho webu, kterými programy komunikují s vašimi daty. Ve WordPressu máte vestavěné REST API zdarma a hotové, ale jeho správné využití (a hlavně zabezpečení) je zásadní. V roce 2026 se význam API ještě zvýšil – AI agenti, automatizační nástroje jako Zapier nebo Make, mobilní aplikace i samotná podpora WordPress AI funkcí jsou na nich přímo závislé. V tomto článku si vysvětlíme, co API endpoint je, jak funguje WordPress REST API, jak vystavovat kontaktní a produktová data a jak to celé zabezpečit.

Co je API endpoint

API (Application Programming Interface) je rozhraní, přes které programy mezi sebou komunikují. Endpoint je konkrétní URL adresa, na kterou program pošle požadavek a dostane zpět data. Zjednodušeně:

Klient (mobilní app, AI agent, web třetí strany) pošle HTTP požadavek na URL
Server (váš WordPress) požadavek zpracuje a vrátí data, obvykle ve formátu JSON
Klient data zobrazí, zpracuje nebo dále posune

Typický příklad: mobilní aplikace e-shopu posílá požadavek na https://eshop.cz/wp-json/wc/v3/products, server vrátí JSON se seznamem produktů, aplikace je zobrazí uživateli.

REST API ve WordPressu: vestavěné a hotové

Skvělá zpráva pro WordPress uživatele: REST API máte k dispozici od verze 4.7 (rok 2016) automaticky. Není třeba nic instalovat. Najdete ho na https://vasedomena.cz/wp-json/.

Standardní endpointy WordPressu:

/wp-json/wp/v2/posts – příspěvky
/wp-json/wp/v2/pages – stránky
/wp-json/wp/v2/users – uživatelé
/wp-json/wp/v2/media – mediální soubory
/wp-json/wp/v2/categories – kategorie
/wp-json/wp/v2/tags – štítky
/wp-json/wp/v2/comments – komentáře

Zkuste si: otevřete v prohlížeči vasedomena.cz/wp-json/wp/v2/posts a uvidíte JSON se svými články. To samé může udělat jakákoli aplikace nebo AI nástroj.

Pro WooCommerce

WooCommerce přidává další endpointy:

/wp-json/wc/v3/products – produkty
/wp-json/wc/v3/orders – objednávky
/wp-json/wc/v3/customers – zákazníci
/wp-json/wc/v3/products/categories – kategorie produktů
/wp-json/wc/v3/reports – reporty

Tyto endpointy už ale vyžadují autentizaci přes WooCommerce REST API klíče (Consumer Key + Consumer Secret).

HTTP metody: GET, POST, PUT, DELETE

API endpointy nepřijímají jen „dej mi data“. Pomocí HTTP metod můžete data i upravovat:

GET – čtení dat („dej mi seznam článků“)
POST – vytváření nového záznamu („vytvoř nový článek“)
PUT/PATCH – úprava existujícího záznamu („změň titulek článku“)
DELETE – smazání záznamu („smaž článek ID 123″)

Pravidlo: GET je veřejný a bezpečný, ostatní metody vyžadují autentizaci. WordPress vás nepustí vytvořit článek bez přihlášení.

Praktické použití: scénáře

Mobilní aplikace

Vytváříte aplikaci pro váš e-shop nebo blog? Místo abyste data programovali znovu, mobilní aplikace si je tahá z REST API vašeho WordPressu. Přidáte v admin nový produkt, aplikace ho automaticky zobrazí.

Headless WordPress

Frontend (React, Vue, Next.js) běží odděleně od WordPressu. WordPress slouží jen jako CMS, frontend si data tahá přes REST API. Výhody: rychlejší web, moderní technologie, oddělení obsahu od prezentace.

Integrace s automatizačními nástroji

Zapier, Make (dříve Integromat), n8n a další automatizační nástroje umí komunikovat s WordPress REST API. Příklady automatizací:

„Když přijde nová objednávka v WooCommerce, vytvoř fakturu v iDokladu a pošli mi notifikaci na Slack“
„Když publikuju nový článek, automaticky ho sdílej na sociálních sítích“
„Když přijde nový komentář, pošli mi email s kontextem“

Partnerské weby a integrace

Distribuujete obsah přes několik webů? Hlavní web vystavuje data přes API, partnerské weby si je tahají automaticky.

AI agenti a chatboti

Tady je v 2026 největší růst. Vlastní chatbot pro váš web potřebuje vědět o vašich produktech, otevírací době, kontaktech. Místo natrénování modelu na vaše data může chatbot v reálném čase tahat data z REST API.

REST API vs. MCP server: jaký je rozdíl

Pokud jste četli článek o MCP serveru, možná se ptáte: k čemu pak ještě REST API? Tady je zásadní rozdíl:

REST API je resource-centric – vystavuje datové objekty (posts, products, users) a CRUD operace nad nimi. Klient musí vědět, co každý endpoint dělá a jak ho použít.
MCP je capability-centric – deklaruje, co WordPress dovede (create_post, optimize_seo, schedule_publication). AI agent objevuje schopnosti dynamicky.

Praktický příklad: chcete, aby AI agent „napsal článek o jarním zahradničení, optimalizoval ho pro SEO, přidal hero obrázek a naplánoval na úterý“. S REST API musí agent vědět:

Že existuje endpoint /wp/v2/posts pro vytvoření článku
Jaké parametry přijímá
Že po vytvoření článku musí volat jiný endpoint pro upload obrázku
Jak naplánovat publikaci přes status: future a date field

S MCP a Abilities API agent přečte manifest a najde abilities create_content, optimize_seo, attach_media, schedule_publication. Každá deklaruje vstupy, výstupy a závislosti. Agent je dokáže poskládat dohromady bez hardcoded znalosti URL.

Závěr: REST API je univerzální, široce podporované, fungující se vším. MCP je pokročilejší vrstva pro AI agenty. Můžete (a často budete) mít obojí. WordPress 7.0 ostatně Abilities API/MCP staví právě nad REST API.

Vystavování kontaktních dat přes API

Klasický scénář: chcete, aby si vaše kontaktní údaje (adresa, telefon, otevírací doba) mohly tahat partnerské weby, mobilní aplikace nebo AI nástroje. Možnosti:

1. Vytvořit custom REST endpoint

Pro vývojáře nejčistší řešení. Krátký kód v functions.php nebo vlastním pluginu:

add_action( 'rest_api_init', function () {
  register_rest_route( 'mojefirma/v1', '/kontakt', array(
    'methods' => 'GET',
    'callback' => 'mojefirma_get_kontakt',
    'permission_callback' => '__return_true', // veřejné
  ) );
} );

function mojefirma_get_kontakt() {
  return array(
    'nazev' => 'Pekárna U Krále',
    'adresa' => array(
      'ulice' => 'Vinohradská 25/1234',
      'mesto' => 'Praha 2',
      'psc' => '120 00',
      'zeme' => 'CZ',
    ),
    'telefon' => '+420 234 567 890',
    'email' => 'info@pekarna-ukrale.cz',
    'otviraci_doba' => array(
      'po-pa' => '07:00-18:00',
      'so' => '08:00-13:00',
      'ne' => 'zavřeno',
    ),
  );
}

Endpoint pak najdete na https://vasedomena.cz/wp-json/mojefirma/v1/kontakt a vrátí JSON s vašimi kontaktními daty.

2. Použít Custom Fields plugin

Pluginy jako Advanced Custom Fields (ACF) mají vestavěnou REST API podporu. V ACF Pro vytvoříte custom fields pro kontaktní údaje a jsou automaticky dostupné přes /wp-json/acf/v3/options/.

3. Plugin pro custom REST endpointy

WP REST API Controller – vystavuje custom post types přes REST
WPGet API – import dat z externích API do WordPressu

Vystavování produktových dat přes WooCommerce REST API

Aktivace

WooCommerce → Nastavení → Pokročilé → REST API
Klikněte „Přidat klíč“
Vyplňte popis (např. „Mobilní aplikace“)
Vyberte uživatele, pod kterým bude klíč fungovat
Vyberte oprávnění: Read (jen čtení), Read/Write (čtení a zápis)
Vygenerují se Consumer Key a Consumer Secret – uložte je hned, později už nebudou viditelné

Použití

Klient použije Basic Auth s Consumer Key jako username a Consumer Secret jako password. Příklad pomocí curl:

curl https://eshop.cz/wp-json/wc/v3/products \
  -u ck_xxxxxxxxxxxxxxxxxxxxxxx:cs_xxxxxxxxxxxxxxxxxxxxxxx

Vrátí JSON se všemi produkty. Pro filtrování použijete query parametry:

# Produkty z kategorie "elektro"
/wp-json/wc/v3/products?category=elektro

# Pouze 10 nejnovějších
/wp-json/wc/v3/products?per_page=10&orderby=date&order=desc

# Pouze produkty na skladě
/wp-json/wc/v3/products?stock_status=instock

# Vyhledávání
/wp-json/wc/v3/products?search=topinkovac

Autentizace: kdo se může připojit

Některé endpointy jsou veřejné (kdokoli si může přečíst seznam vašich článků), jiné vyžadují autentizaci. WordPress podporuje několik metod:

Application Passwords (vestavěné od WP 5.6)

Nejjednodušší metoda. V profilu uživatele (Uživatelé → Váš profil) sjedete dolů na sekci „Application Passwords“:

Vyplníte název aplikace (např. „Make.com automatizace“)
Klikněte „Add New Application Password“
WordPress vygeneruje 24-znakové heslo (něco jako xxxx xxxx xxxx xxxx xxxx xxxx)
Toto heslo + vaše username použijete jako Basic Auth credentials

Výhoda: heslo můžete kdykoli zrušit, aniž byste měnili své hlavní heslo. Pro každou integraci samostatné heslo.

JWT (JSON Web Tokens)

Pro pokročilejší použití. Vyžaduje plugin (např. JWT Authentication for WP REST API). Klient se nejprve přihlásí a dostane JWT token, který používá pro další požadavky.

OAuth 2.0

Standardní pro produkční aplikace. Komplexnější setup, ale nejvyšší úroveň zabezpečení. Vyžaduje plugin (WP OAuth Server) nebo použít WordPress.com (vestavěná podpora).

WooCommerce REST API klíče

Specifické pro WooCommerce. Consumer Key + Consumer Secret v Basic Auth.

Bezpečnost: nezapomenutelné principy

HTTPS je povinnost. Bez HTTPS se Basic Auth credentials přenáší v plain textu. Útočník na veřejné Wi-Fi je odchytí. Vždy používejte HTTPS.
Princip nejnižšího oprávnění. Pro mobilní aplikaci stačí role „Subscriber“ se Read-Only přístupem. Nepoužívejte admin credentials pro každou integraci.
Rate limiting. Bez něj může útočník spustit DDoS přes API. WordPress nemá vestavěný rate limiting – použijte plugin (Limit Login Attempts Reloaded, Wordfence) nebo Cloudflare.
Pravidelná rotace klíčů. Pro WooCommerce klíče stejně jako pro Application Passwords – pravidelně je obnovujte (např. čtvrtletně).
Nikdy klíče v kódu klientské strany. JavaScript v prohlížeči je veřejně dostupný. Klíče patří na server, ne do frontendu.
CORS pro veřejné API. Pokud chcete, aby váš endpoint mohl volat JavaScript z jiných domén, musíte nastavit CORS hlavičky.
Filtrace citlivých dat. Standardní endpointy mohou vracet víc než potřebujete (např. emaily uživatelů). Vlastní endpointy vracejí jen to, co určíte.
Logování přístupů. Sledujte, kdo a kdy se připojuje. Pluginy: WP Activity Log.

Časté chyby

REST API úplně zakázané. Některé bezpečnostní pluginy (špatně nakonfigurované) blokují celé REST API. Tím se rozbije Gutenberg editor, mobilní aplikace, integrace. Blokujte selektivně, ne plošně.
Veřejně dostupný /wp-json/wp/v2/users. Tento endpoint vrací seznam uživatelů a pomáhá útočníkům najít admin uživatelské jméno. Buď zabezpečte, nebo deaktivujte.
Spoléhání na security through obscurity. „Naše API URL nikdo nezná“ není zabezpečení.
Ignorování CORS. Když chcete, aby JavaScript z jiné domény volal vaše API, bez správně nastavených CORS hlaviček to nepůjde.
Klíče v Git repozitáři. Klasická chyba juniorních vývojářů. Klíče vždy v environment proměnných, NIKDY v kódu, NIKDY v Gitu.
Žádný rate limiting. Veřejné API bez rate limitingu je pozvánka k DDoS.
Nedokumentované endpointy. Pokud máte custom endpointy a vývojář, který je psal, odešel, nikdo neví, co dělají. Dokumentujte vždy.
Verzování pominuto. Až změníte API, klienti se rozbijí. Použijte verze v URL (/wp-json/mojefirma/v1/, /wp-json/mojefirma/v2/).

Testování API endpointů

Postman – nejpopulárnější nástroj pro testování API. Zdarma, GUI rozhraní, ukládá kolekce požadavků.
Insomnia – alternativa k Postmanu, čistší rozhraní
curl – command-line nástroj, ideální pro rychlé testy
Prohlížeč – pro GET endpointy stačí otevřít URL v prohlížeči
HTTPie – moderní alternativa k curl s lépe čitelným výstupem

Dokumentace API: nezbytný krok

Pokud vystavujete API pro třetí strany (klienty, partnery, vývojáře aplikací), musíte mít dokumentaci. Bez ní každý integrátor stráví hodiny zkoušením, jak co funguje.

OpenAPI (dříve Swagger)

Standard pro popis REST API. YAML nebo JSON soubor, který popisuje všechny endpointy, parametry a odpovědi. Na jeho základě se generuje:

Interaktivní dokumentace (Swagger UI)
Klientské knihovny v různých jazycích
Mock servery pro testování

Markdown dokumentace

Pro AI nástroje a moderní vývojáře je markdown dokumentace ideální. Stručná, dobře čitelná, snadno indexovatelná. Více v článku o Markdown dokumentaci pro AI.

API a AI: praktické scénáře 2026

Vlastní AI chatbot na webu

Chatbot OpenAI, Claude nebo Gemini se přes vaše REST API ptá v reálném čase: „Máte topinkovač X na skladě?“ → bot zavolá /wc/v3/products?search=topinkovač → dostane data → odpoví uživateli s aktuální cenou a dostupností.

AI agent pro správu obsahu

Ráno v admin přejdete a Claude (přes MCP propojený s vaším REST API) vám připraví: „Včera ti přišlo 7 nových komentářů, 4 jsou OK a 3 jsou spam. Tvůj poslední článek má 234 zhlédnutí. Odeslala se nová objednávka v hodnotě 1 200 Kč.“

Hlasový asistent

Alexa nebo Google Assistant skill se přes REST API ptá vašeho webu: „Jaká je dnes otevírací doba kavárny X?“ Skill zavolá váš endpoint, dostane odpověď, řekne uživateli.

Závěr

API endpointy jsou způsob, jak se váš web stává komponentou v širším ekosystému. Místo toho, aby data žila izolovaně v WordPress administraci, jsou dostupná pro mobilní aplikace, AI agenty, automatizační nástroje a partnerské weby. WordPress vám REST API dává zdarma a hotové – stačí ho začít rozumně využívat.

V roce 2026, kdy AI nástroje a automatizace explodují, je dobré API stejně důležité jako dobrý design nebo SEO. Bez API jste izolovaný ostrov. S API jste součástí sítě.

Akční plán:

Otevřete vasedomena.cz/wp-json/ a podívejte se, co vaše REST API už nyní vystavuje
Vytvořte si Application Password pro testovací integraci
Pro WooCommerce vygenerujte REST API klíče s minimálními oprávněními
Otestujte v Postmanu nebo curl, jestli endpointy fungují
Pro custom data (kontakty, otevírací doba) vytvořte vlastní endpoint
Implementujte rate limiting (Cloudflare nebo plugin)
Dokumentujte všechny custom endpointy
Pro produkční použití zvažte JWT nebo OAuth místo Basic Auth
Sledujte logy přístupů a pravidelně rotujte klíče

Pravidlo na závěr: API není luxus pro velké firmy, je to standardní výbava moderního webu. WordPress vám REST API dává automaticky – nevyužít ho je jako mít auto a nikdy si nesednout za volant. Otevřete ho rozumně, zabezpečte poctivě a otevřete si tím dveře k integracím, které ještě před pár lety byly výsadou enterprise byznysů.