Composer 本身不直接管理 WordPress 插件和主题,但通过 Bedrock 可将其作为 Composer 包声明、安装和更新,实现可复现、版本可控、部署友好的工作流;Bedrock 将 WordPress 拆分为核心(web/wp)、插件(web/app/plugins)、主题(web/app/themes)等逻辑层级,所有依赖均通过 composer.json 声明,核心由 johnpbloch/wordpress 提供,插件和主题优先从 WPackagist 或 Packagist 安装,路径由 wp-config.php 和 index.php 重定向控制;添加插件需在 composer.json 中配置 wpackagist 仓库并 require 对应包,如 "wpackagist-plugin/advanced-custom-fields-pro": "^6.3",运行 composer install/update 即可安装至 web/app/plugins;付费插件需以 package 类型手动注册,并在 auth.json 中配置认证信息;主题同理通过 wpackagist-theme/{slug} 引入,自建主题建议放 web/app/themes/ 并以 vcs 方式纳入 composer.json;子主题无需特殊配置;所有变更必须通过 composer.json 控制,禁止直接修改 web/app/plugins 或 web/app/themes 下文件,升级前应确认无未提交改动,生产部署推荐使用 composer install --no-dev --optimize-autoloader。
Composer 本身不直接管理 WordPress 插件和主题,但通过 Bedrock(由 Roots 团队维护的现代化 WordPress 项目结构)可以将插件、主题甚至 WordPress 核心作为 Composer 包来声明、安装和更新,实现可复现、版本可控、部署友好的工作流。
理解 Bedrock 的目录结构与 Composer 角色
Bedrock 将 WordPress 拆分为逻辑清晰的层级:核心(web/wp)、插件(web/app/plugins)、主题(web/app/themes),而所有依赖都通过 composer.json 声明。WordPress 核心本身被当作一个包(johnpbloch/wordpress)引入,插件和主题则优先从官方 WordPress.org API 或 Packagist 托管的镜像源安装。
- 插件默认安装到
web/app/plugins(非传统wp-content/plugins) - 主题默认安装到
web/app/themes - 所有路径由 Bedrock 的
wp-config.php和index.php重定向控制
添加插件:用 require 安装官方或第三方包
大多数 WordPress 插件已在 WPackagist(WordPress 插件/主题的 Composer 镜像源)索引。只需在 composer.json 中添加仓库并 require:
{
"repositories": [
{
"type": "composer",
"url": "https://www.php.cn/link/a6e79d4197c9f9927b4102dfcc472dcb"
}
],
"require": {
"wpackagist-plugin/advanced-custom-fields-pro": "^6.3",
"wpackagist-plugin/wordfence": "^7.10"
}
}
- 运行
composer install或composer update即可拉取并放入web/app/plugins - ACF Pro 等付费插件需配合
auth.json提供许可证密钥(见下文) - 若插件未上 WPackagist,可手动添加为 VCS 包(如 GitHub 仓库)
管理主题:同理声明,支持子主题与自定义路径
主题同样通过 wpackagist-theme/{slug} 引入:
"require": {
"wpackagist-theme/twentytwentyfour": "^1.0",
"wpackagist-theme/astra": "^4.8"
}
- 主题安装后位于
web/app/themes/,自动被 WordPress 加载 - 自建主题建议放在
web/app/themes/my-theme并设为 Git 仓库,再以vcs类型添加到composer.json - 子主题无需特殊配置,只要主主题已安装且子主题目录存在,即可在后台启用
处理私有/付费插件(如 ACF Pro、Gravity Forms)
这类插件不在公开源中,需手动注册为 package 类型,并提供下载 URL 和认证信息:
- 在
composer.json的repositories中添加:{"type": "package", "package": {"name": "advanced-custom-fields/advanced-custom-fields-pro", "version": "6.3.2", "type": "wordpress-plugin", "dist": {"url": "https://connect.advancedcustomfields.com/index.php?a=download&p=pro&k=YOUR_KEY&v=6.3.2", "type": "zip"}} - 在项目根目录创建
auth.json(git-ignored),填入密钥或 token:{"http-basic": {"connect.advancedcustomfields.com": {"username": "your-email@example.com", "password": "YOUR_LICENSE_KEY"}} - 然后
composer require advanced-custom-fields/advanced-custom-fields-pro:6.3.2
避免常见陷阱
Composer 管理 WordPress 依赖不是“开箱即用”,需注意几个关键点:
- 不要直接修改
web/app/plugins或web/app/themes下的文件——它们是 Composer 的“只读输出”,所有变更应通过composer.json控制 - 升级前先
git status确认无未提交的插件/主题改动,否则composer update可能覆盖本地修改 - 使用
composer dump-autoload -o优化自动加载(尤其在生产环境) - 部署时推荐用
composer install --no-dev --optimize-autoloader减少体积和提升性能
