首页 > wordpress开发 > wordpress主题开发 > wordpress开发常见漏洞SQL注入/跨站脚本(XSS)/跨站点请求伪造(CSRF)
摘要:安全是一个不断变化的环境,漏洞随着时间的推移而演变。 以下是您应该保护的常见漏洞以及保护您的主题免受剥削的技术的讨论。 ...

安全是一个不断变化的环境,漏洞随着时间的推移而演变。 以下是您应该保护的常见漏洞以及保护您的主题免受剥削的技术的讨论。

漏洞类型

SQL注入

这是什么:
当输入的值没有被正确地消毒时,SQL注入会发生,从而允许输入数据中的任何SQL命令潜在地被执行。 为了防止这种情况,WordPress API是广泛的,提供诸如add_post_meta(); 而不是您需要通过SQL(INSERT INTO wp_postmeta …)手动添加后期元数据。

exploits_of_a_mom

xkcd一个妈妈的利用

强化您的主题对SQL注入的第一条规则是:当有WordPress功能时,使用它。

但有时您需要执行复杂的查询,这在API中尚未被考虑。 如果是这种情况,请始终使用$ wpdb函数。 这些专门用于保护您的数据库。

执行SQL查询之前,SQL查询中的所有数据都必须进行SQL转义,以防止SQL注入攻击。 用于SQL转义的最佳功能是$ wpdb-> prepare(),它支持sprintf()和类似vsprintf()的语法。

跨站脚本(XSS)

跨站脚本(XSS)发生在一个恶毒的一方向JavaScript页面注入JavaScript时。

通过转义输出来避免XSS漏洞,剥离不需要的数据。 作为主题的主要责任是输出内容,主题应根据内容的类型,使用正确的功能来转义动态内容。

其中一个转义功能的示例是从用户配置文件中转义URL。

具有HTML实体的内容可以被清理为仅允许指定的HTML元素。

跨站点请求伪造(CSRF)

跨站点请求伪造或CSRF(发音为sea-surf)是当一个恶意的一方欺骗用户在他们被认证的Web应用程序中执行不需要的操作时。例如,网络钓鱼电子邮件可能包含一个页面的链接, 删除WordPress管理员中的用户帐户。

如果您的主题包含任何基于HTML或HTTP的表单提交,请使用随机数来保证用户有意执行操作。

保持现状

保持潜在的安全漏洞很重要。 以下资源提供了良好的起点:

  • WordPress Security Whitepaper
  • WordPress Security Release
  • Open Web Application Security Project (OWASP) Top 10
分享到:
赞(0) 打赏

作者: 大挖酱

挖主题团队自2014年开始专注于WordPress企业主题设计开发,致力于为更多用户打造出更漂亮、更易用、更专业的网站。距今已累计开发近50款WP主题,付费客户超过5千人。挖主题,是您可以长期信赖的合作伙伴。

88 queries in 0.916 seconds

联系作者Q: 8413708 WX: zdmin7

支付宝扫一扫

微信扫一扫