Autenticando requisições à REST API: nonces vs Application Passwords
Como escolher o método de autenticação adequado para cada cenário de consumo da REST API do WordPress.
Causa
Endpoints autenticados retornam 401 Unauthorized quando a requisição não envia credenciais reconhecidas pelo WordPress — um erro comum tanto em scripts no front-end quanto em integrações externas.
Como resolver
Para chamadas feitas pelo próprio site (JavaScript no admin/front-end), envie o cabeçalho X-WP-Nonce gerado com wp_create_nonce('wp_rest'). Para integrações externas (apps, serviços de terceiros), utilize Application Passwords, que dispensam o compartilhamento da senha principal do usuário.
// PHP: gerando o nonce para uso no front-end
wp_localize_script( 'meu-script', 'meuApp', [
'root' => esc_url_raw( rest_url() ),
'nonce' => wp_create_nonce( 'wp_rest' ),
] );meta_query deixando consultas lentas em listagens com muitos filtros
Por que filtros baseados em meta_query podem se tornar um gargalo de performance em sites com muitos posts.
Carregando assets do admin apenas nas telas corretas
Como evitar que scripts e estilos do plugin sejam enfileirados em todas as páginas do wp-admin.
Inserindo scripts e meta tags com wp_head e wp_footer
Forma recomendada de adicionar meta tags, scripts de terceiros ou pixels de rastreamento ao tema sem editar arquivos do core.
get_template_part() carregando o template errado
Comportamento de hierarquia e cache ao usar get_template_part() em temas filhos.
Fatal error: Call to undefined function create_function()
Erro fatal em sites migrados para PHP 8, causado pela remoção da função create_function().
Fatal error: Maximum execution time of 30 seconds exceeded
Erro fatal quando um script ultrapassa o tempo máximo de execução configurado no PHP.