使用内置 WordPress 功能编写安全主题

本文是与 SiteGround 合作创建的系列文章的一部分。感谢您对合作伙伴的支持，使 SitePoint 成为可能。 27% 的网络使用WordPress，对于在这个大型流行开源平台上运行网站的任何人来说，安全性是第一大问题。尽管 WordPress 核心的安全性是由专门的开发人员团队负责的，但对于扩展 WordPress 使其几乎可以执行您想要的任何操作的数千个第三方插件和主题来说，情况却并非如此。仅一个易受攻击的插件或主题就可能给数百万个网站带来高风险。 除非您使用的是可靠的托管提供商，允许自动更新您的 WordPress 插件并运行定期安全检查，例如我们的合作伙伴SiteGround，否则您网站的主题和插件的安全性完全取决于您。 在本文中，我将介绍一些可在 WordPress 主题开发中应用的指南和 WordPress 功能，以确保您的产品编码以用户安全为核心。



具有安全意识的开发人员的原则 Build Your Own Developer Portfolio 对于专门的 WordPress 插件和主题开发人员来说，安全性是他们编写的每一行代码中最重要的考虑因素。 编码安全 WordPress 主题的严肃整体方法包括注意以下一般原则： 认为所有数据都是不安全的，除非另有证明 尽可能使用 WordPress 功能。大多数 WordPress API 都有内置的安全机制，这意味着使用它们可以使您的代码面临漏洞的风险大大降低 使用最新技术和最佳实践使您的 WhatsApp 号码数据 代码保持最新。 您需要注意什么 您需要警惕的最常见威胁是： SQL注入：攻击者注入恶意SQL代码来控制网站的数据库服务器 跨站脚本攻击 (XSS)：攻击者将恶意 JavaScript 代码注入网页 跨站点请求伪造 (CSRF)：攻击者强迫用户在经过身份验证的网站上执行不需要的操作。 Web 安全始终在不断发展，因此及时了解最新威胁非常重要。就 WordPress 而言，Sucuri 博客是了解漏洞和攻击的好地方。



数据验证、清理和转义 在接受来自任何来源（例如用户、Web 服务、API 等）的任何输入数据之前，您必须检查它是否符合您的预期且有效。此任务称为验证。 例如，如果您通过网站上的表单收集用户的电子邮件，则您的代码需要检查用户是否输入了某些文本输入（例如，不是一些数字或根本没有任何内容），并且该输入是否对应于有效的电子邮件地址在将该数据输入数据库之前。 Build Your Own Developer Portfolio 您可能认为主题中几乎不需要这种检查。事实上，使用插件而不是主题更好地包含表单。然而，情况并非完全如此。例如，如果您计划通过定制器添加主题选项，您可能需要对用户输入执行一些数据验证。 清理包括过滤或清理来自用户、Web 服务等的数据，这些数据将存储在数据库中。在此过程中，您可以从数据中删除任何可能有害或不需要的内容，例如 JavaScript 语句、特殊字符等。