Безопасность плагина

Поздравляем, ваш код работает! Но безопасен ли он? Как ваш плагин защитит пользователей, если их сайты взломают? Лучшие плагины в каталоге WordPress.org содержат информацию пользователей в безопасности.

Пожалуйста, имейте в виду, что ваш код может быть запущен на сотнях, может быть, даже миллионах сайтов, поэтому безопасность имеет первостепенное значение. Это особенно важно при создании страницы настроек для вашей темы, создании и манипулировании шорткодами или при сохранение и преобразование дополнительных данных, связанных с записью.

К счастью, существуют общие модели, которым вы можете следовать, чтобы обеспечить безопасность вашего кода. Мы разбили их на три ключевые идеи:

Безопасный ввод

Каждый раз, когда пользователь отправляет данные в WordPress, данные импортируются из внешнего источника или данные поступают в WordPress, вы должны убедиться, что это безопасно. Вы можете сделать это путем валидации и обработки данных.

Экранирование вывода

Каждый раз, когда заголовок записи, ее мета данные, или некоторые другие данные из базы данных предоставляются для пользователей, мы должны убедиться, что они правильно экранированы. Это помогает предотвратить такие проблемы, как Cross-Site Scripting (XSS — межсайтовый скриптинг).

Подтверждение прав доступа

Для предотвращения несанкционированных изменений настроек вашего плагина или совершения действий, которые не уполномочены выполняться, важно всегда подтверждать свои права доступа. WordPress предлагает два пути: одноразовые числа и проверка возможностей пользователя.

Начните с проверки возможности пользователя и одноразовых чисел, чтобы начать процесс обеспечения безопасности вашего плагина.

Внешние ресурсы

Навигация по разделам:

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *