Eine API (Application Programming Interface) ist eine klar definierte Schnittstelle, über die zwei Softwaresysteme Daten und Funktionen miteinander austauschen, ohne ihre interne Funktionsweise offenlegen zu müssen.
Was bedeutet das?
Der Begriff API steht für „Application Programming Interface“, auf Deutsch Programmierschnittstelle. Eine API legt verbindlich fest, welche Anfragen ein System entgegennimmt, in welchem Format Daten übermittelt werden und welche Antworten zurückgeliefert werden. Sie funktioniert wie ein Vertrag zwischen zwei Parteien: Der Aufrufer (Client) hält sich an das vorgegebene Format, der Anbieter (Server) garantiert eine strukturierte, vorhersehbare Antwort zurück. Der Aufrufer muss dabei nicht wissen, wie die Antwort intern berechnet wird, er muss nur die Schnittstelle kennen.
Im Web-Kontext sind REST-APIs (Representational State Transfer) am weitesten verbreitet. Sie nutzen die Standard-HTTP-Methoden GET (abrufen), POST (erstellen), PUT (aktualisieren) und DELETE (löschen), um auf Ressourcen zuzugreifen. Daten werden dabei überwiegend im JSON-Format übertragen, das sowohl für Menschen lesbar als auch maschinell gut verarbeitbar ist. Daneben gibt es GraphQL-APIs, bei denen der Aufrufer exakt bestimmt, welche Felder einer Ressource er benötigt, was die übertragene Datenmenge deutlich reduzieren kann.
APIs existieren auf vielen Ebenen: Betriebssysteme stellen APIs bereit, damit Anwendungen auf Dateisystem oder Netzwerkadapter zugreifen können. Browser bieten Web-APIs wie die Geolocation API, die Web Animations API oder die Fetch API. Für WordPress-Betreiber sind HTTP-basierte APIs besonders relevant, weil sie die Integration externer Dienste wie Zahlungsdienstleister, Versanddienstleister oder Analyse-Plattformen ermöglichen.
Beispiel aus der Praxis
WordPress stellt seit Version 4.7 eine vollständige REST API bereit. Über die URL https://ihre-domain.de/wp-json/wp/v2/posts lässt sich eine JSON-Liste aller veröffentlichten Beiträge abrufen, ohne dass ein Browser den klassischen WordPress-Frontend-Stack laden muss. Das ermöglicht es, WordPress als sogenanntes „Headless CMS“ zu betreiben: Die Inhalte werden in WordPress verwaltet, aber von einer separaten JavaScript-Anwendung dargestellt. Plugins wie WooCommerce, Yoast SEO oder Advanced Custom Fields erweitern diese REST API um eigene Endpunkte.
Ein weiteres Alltagsbeispiel: Wenn ein WooCommerce-Shop eine Zahlung über einen Zahlungsdienstleister abwickelt, kommuniziert das Plugin im Hintergrund mit der API des jeweiligen Anbieters. Der API-Schlüssel, den Sie im Plugin-Einstellungsbereich eingeben, dient dabei zur Authentifizierung und sorgt dafür, dass die Transaktion Ihrem Konto zugeordnet wird.
Tipp aus der Praxis
API-Schlüssel von Drittanbieterdiensten gehören zu den sensibelsten Zugangsdaten einer WordPress-Installation. Speichern Sie sie niemals direkt im Theme-Code oder in einem öffentlich einsehbaren Versionsverwaltungs-Repository. Die sicherste Methode ist die Ablage in der wp-config.php als PHP-Konstante, da diese Datei außerhalb des öffentlichen Webroot-Verzeichnisses liegen kann und nicht über den Browser erreichbar ist. Prüfen Sie außerdem regelmäßig in den Dashboards Ihrer API-Anbieter, ob ungewöhnliche Nutzungsmengen aufgeführt sind, die auf einen Missbrauch des Schlüssels hindeuten könnten.