WordPress中文开发手册

WordPress主题开发 — 常见漏洞

安全是一个不断变化的环境,漏洞随着时间的推移而演变。 以下是您应该保护的常见漏洞以及保护您的主题免受剥削的技术的讨论。

漏洞类型

SQL注入

这是什么:
当输入的值没有被正确地消毒时,SQL注入会发生,从而允许输入数据中的任何SQL命令潜在地被执行。 为了防止这种情况,WordPress API是广泛的,提供诸如add_post_meta(); 而不是您需要通过SQL(INSERT INTO wp_postmeta ...)手动添加后期元数据。

exploits_of_a_mom

xkcd一个妈妈的利用

强化您的主题对SQL注入的第一条规则是:当有WordPress功能时,使用它。

但有时您需要执行复杂的查询,这在API中尚未被考虑。 如果是这种情况,请始终使用$ wpdb函数。 这些专门用于保护您的数据库。

执行SQL查询之前,SQL查询中的所有数据都必须进行SQL转义,以防止SQL注入攻击。 用于SQL转义的最佳功能是$ wpdb-> prepare(),它支持sprintf()和类似vsprintf()的语法。

$wpdb->get_var( $wpdb->prepare(
  "SELECT something FROM table WHERE foo = %s and status = %d",
  $name, // an unescaped string (function will do the sanitization for you)
  $status // an untrusted integer (function will do the sanitization for you)
) );

跨站脚本(XSS)

跨站脚本(XSS)发生在一个恶毒的一方向JavaScript页面注入JavaScript时。

通过转义输出来避免XSS漏洞,剥离不需要的数据。 作为主题的主要责任是输出内容,主题应根据内容的类型,使用正确的功能来转义动态内容。

其中一个转义功能的示例是从用户配置文件中转义URL。

<img src="<?php echo esc_url( $great_user_picture_url ); ?>" />

具有HTML实体的内容可以被清理为仅允许指定的HTML元素。

$allowed_html = array(
    'a' => array(
        'href' => array(),
        'title' => array()
    ),
    'br' => array(),
    'em' => array(),
    'strong' => array(),
);
  
echo wp_kses( $custom_content, $allowed_html );

跨站点请求伪造(CSRF)

跨站点请求伪造或CSRF(发音为sea-surf)是当一个恶意的一方欺骗用户在他们被认证的Web应用程序中执行不需要的操作时。例如,网络钓鱼电子邮件可能包含一个页面的链接, 删除WordPress管理员中的用户帐户。

如果您的主题包含任何基于HTML或HTTP的表单提交,请使用随机数来保证用户有意执行操作。

<form method="post">
   <!-- some inputs here ... -->
   <?php wp_nonce_field( 'name_of_my_action', 'name_of_nonce_field' ); ?>
</form>

保持现状

保持潜在的安全漏洞很重要。 以下资源提供了良好的起点:

  • WordPress Security Whitepaper
  • WordPress Security Release
  • Open Web Application Security Project (OWASP) Top 10