WordPress中文开发手册

WordPress主题开发 — 主题安全

介绍

WordPress开发团队认真对待安全。由于网络依赖于平台的完整性,安全性是必需的。虽然核心开发人员有一个专注于保护核心平台的专门团队,但作为一名主题开发人员,您非常清楚潜在的可能性在核心之外,可能是易受攻击的。因为WordPress提供了如此多的功能和灵活性,插件和主题是弱点的关键点。

发展安全心态

在开发主题时,在添加功能时,请考虑安全性。在您开始主题开发工作时,请使用以下原则:

不信任任何数据。不要信任用户输入,第三方API或数据库中的数据,无需验证。保护您的WordPress主题始于确保数据进入和离开您的主题是按预期。始终确保在使用或输出之前验证输入和清理(转义)数据。
依靠WordPress API。许多核心WordPress功能提供验证和消毒数据功能的构建。依靠WordPress提供的功能尽可能。
使您的主题保持最新。随着技术的发展,您的主题的新安全漏洞的潜力也越来越大。保持警惕,维护您的代码,并根据需要更新您的主题。
本章提供了一些关于使用数据验证和消毒/转义技术编写安全主题的背景知识,使用随机数生成安全令牌,以及对常见安全攻击的审查以及如何根据他们加强主题。

其他资源

WordPress主题编写指南 - WordPress.org博客系列
编写安全主题的指南 - 第1部分:简介
编写安全主题的指南 - 第2部分:验证
编写安全主题的指南 - 第3部分:消毒
编写安全主题的指南 - 第4部分:保护帖子元数据
Sucuri安全博客

Articles