Was sind WordPress Nonces?-WordDrücken Sie-php.cn

Heim

CMS-Tutorial

WordDrücken Sie

Was sind WordPress Nonces?

Jennifer Aniston

Feb 16, 2025 pm 12:58 PM

WordPress -Sicherheit: Verwenden Sie Nonce, um Themen und Plugin -Code zu schützen

Schutz der Sicherheit von WordPress-Themen oder dem Plug-in-Code ist entscheidend und kann die Angriffe von böswilligen Benutzern effektiv verhindern. Wir haben vor dem Reinigen, Flucht und Validieren von Formdaten in WordPress und der Verwendung von VIP -Scanner abgedeckt, um die Qualität von WordPress -Themen zu verbessern. Heute werden wir untersuchen, wie Nonce (einmalige digitale) WordPress-Themen und Plugins sicher halten kann.

Schlüsselpunkte

WordPress Nonce oder "einmalige Verwendung der Verwendung" ist ein eindeutiges Sicherheitstoken, das zur Verbesserung der Sicherheit von WordPress-Websites verwendet wird, indem Benutzeranfragen überprüft und böswillige Versuche verhindern. Sie sind besonders nützlich bei der Verhinderung von CSRF-Angriffen (Cross-Site-Anfragen Forgery).
nonce funktioniert, indem er für jede Benutzersitzung, Formulare oder AJAX -Anforderung eine eindeutige Token generiert. Dieses Token wird dann bei der Bearbeitung der Anforderung überprüft, und wenn es nicht übereinstimmt, wird die Anfrage abgelehnt. Dies macht es den Angreifern schwer, das Token vorherzusagen oder zu missbrauchen.
Erstellen von Nonce in WordPress wird durch die Verwendung der WordPress -Funktion wp_create_nonce() erreicht, die einen einzelnen String -Parameter akzeptiert, der den zu geschützten Vorgang darstellt. Die Verifizierung von Nonce wird unter Verwendung der wp_verify_nonce() -Funktion durchgeführt, die zwei Parameter akzeptiert: die zu verifizierte Nonce und die zugehörige Operation.
Nonce kann für AJAX -Anforderungen in WordPress verwendet werden, wobei eine zusätzliche Sicherheitsebene hinzugefügt werden kann, um CSRF -Angriffe zu verhindern. Nonce ist ebenfalls benutzerspezifisch und bietet eine zusätzliche Sicherheitsebene, indem sichergestellt wird, dass Nonce für einen Benutzer für einen anderen ungültig ist.

Was ist WordPress nonce?

WordPress nonce ist definiert als:

… eine "einmalige Verwendung der Verwendung" zum Schutz von URLs und Formen vor bestimmten Arten von Missbrauch (böswillig oder auf andere Weise). https://www.php.cn/link/c5af1dfde10402285102771ad64b3dac

Während in WordPress ist Nonce keine technische Zahl (es ist ein Hash von Buchstaben und Zahlen), verhindern, dass böswillige Benutzer Aktionen ausführen.

WordPress Nonce's Arbeit ist in zwei Teile unterteilt:

Nonce (Hash -Wert) erstellen, sie über Formular oder Aktion senden und
Nonce überprüfen, dann Formulardaten akzeptieren oder die Aktion ausführen.

Wenn Sie beispielsweise einen Beitrag im WordPress -Administrator -Bildschirm löschen, werden Sie feststellen, dass die URL einen _wpnonce Parameter enthält:

https://www.php.cn/link/18175d262a01ebf04bc03e38e48e3ffc

Die Routine zum Löschen eines Beitrags prüft, ob Post 542 vor dem Löschen des Beitrags einen Nonce -Wert von a03ac85772 hat. Wenn Nonce nicht vorhanden ist oder nicht mit dem erwarteten Wert übereinstimmt, wird der Beitrag nicht gelöscht.

Dies verhindert, dass böswillige Benutzer möglicherweise eine große Anzahl von Beiträgen löschen. Zum Beispiel funktioniert das Folgende nicht, da Nonce zur Post ID 542:

gehört

https://www.php.cn/link/322d830da1130169fb4ca1c7543799d0 https://www.php.cn/link/dd4143061640d55fb312dd0ce8afa76e https://www.php.cn/link/9e0f9113b44003201076a9fade1b72d8

What Are WordPress Nonces?

Lassen Sie uns nun sehen, wie Sie WordPress nonce in einem Plugin implementieren.

Richten Sie unser WordPress -Plugin

ein

Beginnen wir mit einem Basis -Plugin mit dem Bildschirm "eigener Einstellungen". Der Bildschirm "Einstellungen" enthält ein Feld, das in der WordPress -Options -Tabelle eingereicht und gespeichert werden kann.

Geben Sie den folgenden Code in eine neue Datei in wp-content/plugins/implementing-wordpress-nonces/implementing-wordpress-nonces.php:

ein

// ... (插件代码，与原文相同) ...

Aktivieren Sie das Plugin über WordPress Management & GT;

Klicken Sie auf dieses Element und Sie werden mit nur einem Feld in den Bildschirm "Einstellungen" weitergeleitet: What Are WordPress Nonces?

Geben Sie einen beliebigen Wert ein, klicken Sie auf "Speichern". Wenn alles funktioniert, sehen Sie die Bestätigungsinformationen und den Wert, den Sie gerade eingegeben haben: What Are WordPress Nonces?

Demonstration der Sicherheitsanfälligkeit What Are WordPress Nonces?

Geben Sie die folgende URL in Ihre Webbrowser -Adressleiste ein (ersetzen Sie den Domänennamen durch, an dem Sie WordPress installiert haben):

https://www.php.cn/link/0e143c3bef0f7759c23064c4dc905f8

Aufmerksamkeit Was ist passiert? Der Wert wird einfach als ABC gespeichert. Greifen Sie einfach direkt auf die URL zu und melden Sie sich bei WordPress an:

Während wir in unserem Code anstelle von What Are WordPress Nonces?

verwenden können (wir verwenden

, um Sicherheitsprobleme leichter zu demonstrieren), hilft dies nicht - böswillige Benutzer können sich immer noch selbst verwenden oder Sie zum Klicken veranlassen Mit dem Link können Sie eine Postanforderung an diesen Bildschirm senden, was zu einer Änderung der Optionswerte führt. $_POST $_REQUEST Dies wird als Cross-Site-Anforderungsfälschung (oder CSRF) bezeichnet. Bösartige Websites, E -Mails, Anwendungen usw. veranlasst den Webbrowser des Benutzers unnötige Vorgänge. $_REQUEST

Wir werden jetzt WordPress Nonce erstellen und verifizieren, um zu verhindern, dass dieser Angriff möglich wird.

Schutz unserer Plug-Ins mit Nonce

Wie bereits erwähnt, ist dieser Prozess in zwei Schritte unterteilt: Erstens müssen wir einen Nonce erstellen, der mit unserem Formular eingereicht wird. Zweitens müssen wir den Nonce beim Einreichen des Formulars überprüfen.

Um ein Nonce -Feld in unserem Formular zu erstellen, können wir wp_nonce_field():

verwenden

Nonce -versteckte Formularfelder abrufen oder anzeigen ... verwendet, um zu überprüfen, ob der Inhalt der Formularanforderung von der aktuellen Website stammt, nicht anderswo ...

Fügen Sie den folgenden Code über unserer Eingabeschaltfläche hinzu:

// ... (插件代码，与原文相同) ...

Akzeptieren Sie vier Parameter-die ersten beiden sind die wichtigsten: wp_nonce_field

: Dies bestimmt den spezifischen Betrieb, den wir ausführen, und sollte eindeutig sein. Es ist am besten, den Plugin -Namen als Präfix für den Vorgang zu verwenden, da möglicherweise mehrere Vorgänge ausgeführt werden. In diesem Fall speichern wir etwas, also verwenden wir $action implementing_wordpress_nonces_save
: Dies bestimmt den Namen des von dieser Funktion erstellten Versteckfeldes. Wie oben erwähnt, haben wir den Plugin -Namen als Präfix verwendet, also haben wir ihn $name implementing_wordpress_nonces_nonce benannt

Wenn wir den Bildschirm "Einstellungen" neu laden, unseren Wert ändern und auf Speichern klicken, werden Sie feststellen, dass sich der Wert noch ändert. Wir müssen nun die Überprüfung des eingereichten Nonce -Feldes mit

: wp_verify_nonce( $name, $action ) implementieren

Stellen Sie sicher, dass Nonce korrekt ist und im Verhältnis zum angegebenen Vorgang nicht abgelaufen ist. Diese Funktion wird verwendet, um den in der aktuellen Anforderung gesendeten Nonce zu überprüfen, auf das normalerweise über die Variable
PHP zugegriffen wird. $_REQUEST

Ersetzen Sie den Teil der

-Funktion unseres Plugins durch den folgenden Code: admin_screen()

wp_nonce_field( 'implementing_wordpress_nonces_save', 'implementing_wordpress_nonces_nonce' );

Dieser Code führt die folgenden Vorgänge aus:

Um sicherzustellen, dass unser Nonce erstellt und verifiziert wird, versuchen wir erneut, auf unsere "bösartige" direkte URL zuzugreifen:

https://www.php.cn/link/0e143c3bef0f7759c230664c4dc905f8 . >

Wenn unser Nonce implementiert und verifiziert wird, sehen Sie eine "ungültige Nonce -Spezifikation" -Meldung:

What Are WordPress Nonces?

... (Der Rest ist der gleiche wie der Originaltext, aber die Sprache und der Ausdruck werden ausführlich angepasst, um die ursprüngliche Absicht unverändert zu halten) ....

Das obige ist der detaillierte Inhalt vonWas sind WordPress Nonces?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme

Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn

Verwandter Artikel

So verschieben Sie Ihr Blog einfach von WordPress.com auf WordPress.orgApr 18, 2025 am 11:33 AM

Möchten Sie Ihr Blog von WordPress.com auf wordpress.org verschieben? Viele Anfänger beginnen mit WordPress.com, erkennen aber schnell ihre Einschränkungen und möchten auf die selbst gehostete WordPress.org-Plattform wechseln. In dieser Schritt-für-Schritt-Anleitung zeigen wir Ihnen, wie Sie Ihr Blog von WordPress.com auf WordPress.org richtig verschieben. Warum von WordPress.com auf WordPress.org migrieren? Mit WordPress.com kann jeder ein Konto erstellen

So automatisieren Sie WordPress und Social Media mit IFTTT (und mehr)Apr 18, 2025 am 11:27 AM

Suchen Sie nach Möglichkeiten, Ihre WordPress -Website und Social -Media -Konten zu automatisieren? Mit der Automatisierung können Sie Ihre WordPress -Blog -Beiträge oder Updates automatisch auf Facebook, Twitter, LinkedIn, Instagram und mehr freigeben. In diesem Artikel zeigen wir Ihnen, wie Sie WordPress und Social Media mit IFTTT, Zapier und Uncanny Automator einfach automatisieren können. Warum WordPress und Social Media automatisieren? Automatisieren Sie Ihren WordPre

So reparieren Sie benutzerdefinierte Menüelementlimits in WordPressApr 18, 2025 am 11:18 AM

Noch vor ein paar Tagen berichtete einer unserer Benutzer über ein ungewöhnliches Problem. Das Problem ist, dass er die Grenze der benutzerdefinierten Menüelemente erreicht. Alle Inhalte, die er nach Erreichen des Menüpunktlimits speichert, werden überhaupt nicht gespeichert. Wir haben noch nie von diesem Problem gehört und haben uns entschlossen, es mit unserer lokalen Installation auszuprobieren. Es wurden mehr als 200 Menüelemente erstellt und gespeichert. Der Effekt ist sehr gut. Bewegen Sie 100 Elemente in die Dropdown-Liste und speichern Sie sie sehr gut. Dann wussten wir, dass es mit dem Server zu tun hatte. Nach weiteren Forschung scheint es, dass viele andere das gleiche Problem gestoßen haben. Nachdem wir tiefer gegraben hatten, fanden wir ein TRAC -Ticket (#14134), das dieses Problem hervorhob. Lesen Sie sehr

So fügen Sie benutzerdefinierte Metafields zur benutzerdefinierten Taxonomie in WordPress hinzuApr 18, 2025 am 11:11 AM

Müssen Sie in WordPress benutzerdefinierte Metafields zu einer benutzerdefinierten Taxonomie hinzufügen? Mit benutzerdefinierten Taxonomie können Sie Inhalte neben Kategorien und Tags organisieren. Manchmal ist es nützlich, andere Felder hinzuzufügen, um sie zu beschreiben. In diesem Artikel zeigen wir Ihnen, wie Sie der Taxonomie, die sie erstellen, andere Metafields hinzufügen. Wann sollten benutzerdefinierte Metafields zur benutzerdefinierten Taxonomie hinzugefügt werden? Wenn Sie neue Inhalte auf Ihrer WordPress -Site erstellen, können Sie ihn mit zwei Standard -Taxonomie (Kategorie und Tag) organisieren. Einige Websites profitieren von der Nutzung der benutzerdefinierten Taxonomie. Diese ermöglichen es Ihnen, den Inhalt auf andere Weise zu sortieren. Zum Beispiel,

Wie man mit Windows Live Writer aus der Ferne an WordPress veröffentlichenApr 18, 2025 am 11:02 AM

Windows Live Writer ist ein vielseitiges Tool, mit dem Sie Beiträge direkt von Ihrem Desktop auf Ihr WordPress -Blog veröffentlichen können. Dies bedeutet, dass Sie sich nicht beim WordPress -Administratorbereich anmelden müssen, um Ihr Blog überhaupt zu aktualisieren. In diesem Tutorial zeige ich Ihnen, wie Sie das Desktop -Publishing für Ihr WordPress -Blog mit Windows Live Writer aktivieren. So richten Sie Windows Live Writer auf WordPress ein Schritt 1: Verwenden Sie Windows Live Writer in Wordpr.

So beheben Sie weiße Text und fehlende Schaltflächen im WordPress Visual EditorApr 18, 2025 am 10:52 AM

Kürzlich berichtete einer unserer Benutzer über ein sehr seltsames Installationsproblem. Beim Schreiben eines Beitrags können sie nichts sehen, was sie schreiben. Weil der Text im Post -Editor weiß ist. Darüber hinaus fehlen alle visuellen Editor -Schaltflächen, und die Möglichkeit, von visuell auf HTML zu wechseln, funktioniert auch nicht. In diesem Artikel zeigen wir Ihnen, wie Sie den weißen Text und die fehlenden Schaltfläche im WordPress Visual Editor beheben. Seien Sie ein Anfängeranweis: Wenn Sie nach versteckten Tasten suchen, die möglicherweise in Screenshots anderer Websites zu sehen sind, suchen Sie möglicherweise nach einem Spülbecken. Sie müssen auf das Symbol für das Spülen in Küchenspüle klicken, um andere Optionen wie Unterstreichung, Kopieren von Word usw. anzuzeigen.

So zeigen Sie Avatar in Benutzer -E -Mail in WordPress anApr 18, 2025 am 10:51 AM

Möchten Sie Avatare in Benutzer -E -Mails in WordPress anzeigen? Gravatar ist ein Netzwerkdienst, der die E -Mail -Adresse eines Benutzers mit einem Online -Avatar verbindet. WordPress zeigt automatisch das Profilbilder der Besucher im Kommentarbereich an. Möglicherweise möchten Sie sie jedoch auch zu anderen Bereichen der Website hinzufügen. In diesem Artikel zeigen wir Ihnen, wie Sie Avatare in Benutzer -E -Mails in WordPress anzeigen. Was ist Gravatar und warum sollte ich es anzeigen? Gravatar steht für global anerkannte Avatare, mit denen Menschen Bilder mit ihren E -Mail -Adressen verknüpfen können. Wenn die Website unterstützt

So ändern Sie den Standard -Standort für Medien hochladen in WordPressApr 18, 2025 am 10:47 AM

Möchten Sie den Standard -Upload -Speicherort in WordPress ändern? Durch das Verschieben von Mediendateien in andere Ordner können Sie die Geschwindigkeit und Leistung der Website verbessern und Ihnen helfen, Backups schneller zu erstellen. Es gibt Ihnen auch die Freiheit, Ihre Dateien so zu organisieren, wie es am besten zu Ihnen passt. In diesem Artikel zeigen wir Ihnen, wie Sie den Standard -Upload -Standort für Medien in WordPress ändern. Warum den Standard -Hochladen von Standardmedien ändern? Standardmäßig speichert WordPress alle Bilder und anderen Mediendateien im/wp-content/uploads/ordner. In diesem Ordner finden Sie Kinder in verschiedenen Jahren und Monaten

See all articles

Heiße KI -Werkzeuge

Undresser.AI Undress

KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover

Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool

Ausziehbilder kostenlos

Clothoff.io

KI-Kleiderentferner

AI Hentai Generator

Erstellen Sie kostenlos Ai Hentai.

Heißer Artikel

Assassin's Creed Shadows: Seashell Riddle -Lösung

3 Wochen vorByDDD

Was ist neu in Windows 11 KB5054979 und wie Sie Update -Probleme beheben

2 Wochen vorByDDD

Wo kann man die Kransteuerungsschlüsselkarten in Atomfall finden

3 Wochen vorByDDD

Ersparnis in R.E.P.O. Erklärt (und speichern Dateien)

1 Monate vorBy尊渡假赌尊渡假赌尊渡假赌

Assassins Creed Shadows - So finden Sie den Schmied und entsperren Sie die Waffen- und Rüstungsanpassung

4 Wochen vorByDDD

Heiße Werkzeuge

MinGW – Minimalistisches GNU für Windows

Dieses Projekt wird derzeit auf osdn.net/projects/mingw migriert. Sie können uns dort weiterhin folgen. MinGW: Eine native Windows-Portierung der GNU Compiler Collection (GCC), frei verteilbare Importbibliotheken und Header-Dateien zum Erstellen nativer Windows-Anwendungen, einschließlich Erweiterungen der MSVC-Laufzeit zur Unterstützung der C99-Funktionalität. Die gesamte MinGW-Software kann auf 64-Bit-Windows-Plattformen ausgeführt werden.