내장 된 WordPress 기능으로 안전한 테마를 코딩합니다

코어 포인트

WordPress 개발자는 모든 데이터를 안전하게 입증 할 때까지 사용하고 테마의 보안을 보장합니다.

SQL 주입, XSS (Cross-Site Scripting) 및 CSRF (Cross-Site Request Grespery)는 WordPress 테마를 작성할 때 개발자가주의를 기울여야하는 일반적인 위협입니다.

검증, 청소 및 탈출은 WordPress 테마 보안에 중요합니다. 입력 데이터가 데이터를 데이터베이스에 저장하기 전에 필터를 정리하는지 확인하십시오.
• WordPress는 많은 내장 검증, 청소 및 탈출 기능을 제공합니다. 이 기능에는 ,
,
• ,
, ,
• ,
, , , ,
• , is_email()가 포함됩니다. , username_exists(), term_exists(), validate_file(), sanitize_email(), sanitize_option(), sanitize_text_field(), . sanitize_hex_color() wp_kses_post() esc_html() esc_url() 이 기사는 Siteground와 공동으로 작성된 일련의 기사의 일부입니다. Sitepoint를 가능하게 한 파트너를 지원해 주셔서 감사합니다. esc_attr() WordPress가 네트워크 공유의 27%를 차지한다는 점을 감안할 때 보안은이 인기 오픈 소스 플랫폼에서 웹 사이트를 운영하는 사람에게 가장 큰 관심사입니다. WordPress Core Code의 보안은 전용 개발 팀에 의해 유지되지만, 이는 수천 개의 타사 플러그인과 WordPress의 기능을 확장하여 원하는 거의 모든 것을 수행하는 테마의 경우에는 해당되지 않습니다. 취약성이있는 하나의 플러그인 또는 테마 만 있으면 수백만 개의 웹 사이트에 위험이 높아질 수 있습니다. esc_textarea() 신뢰할 수있는 호스팅 제공 업체 (예 : 파트너 사이트 Groun WordPress 플러그인 및 정기적 인 보안 확인에 대한 자동 업데이트가 제공되는 제공자 (예 : 웹 사이트 테마 및 플러그인)는 전적으로 귀하에게 달려 있습니다.
이 기사에서는 WordPress 테마 개발에 적용 할 수있는 몇 가지 지침과 WordPress 기능을 소개하여 제품이 작성 될 때 제품 안전을 최우선으로합니다.

강력한 보안 인식을 가진 개발자를위한

원칙

전용 WordPress 플러그인 및 테마 개발자의 경우 보안은 모든 코드 라인을 작성하는 데 먼저 제시 한 요소입니다.

안전한 WordPress 테마 작성에 대한 전반적인 접근 방식에는 다음 일반적인 원칙에 중점을 둡니다.

모든 데이터를 안전한 것으로 입증 될 때까지 안전하지 않은 것으로 취급하십시오.
• 가능한 한 WordPress 기능을 사용하십시오. 대부분의 WordPress API에는 내장 된 보안 메커니즘이 있습니다. 즉,이를 사용하는 것은 코드의 취약점의 위험을 크게 줄일 수 있습니다.
최신 기술 및 모범 사례로 코드를 최신 상태로 유지하십시오.
• 주목할만한 것들

주의를 기울여야하는 가장 일반적인 위협은 다음과 같습니다.

SQL 주입 : 공격자는 악의적 인 SQL 코드를 주입하여 웹 사이트의 데이터베이스 서버를 제어합니다. 크로스 사이트 스크립팅 (XSS) : 공격자는 악의적 인 JavaScript 코드를 웹 페이지에 주입합니다. CSRF (Cross-Site Request Grospore) : 공격자는 사용자가 인증 된 웹 사이트에서 원치 않는 작업을 수행하도록 강요합니다.

사이버 보안이 발전하고 있으므로 최신 위협을 알고있는 것이 중요합니다. WordPress와 관련하여 Sucuri 블로그는 취약점과 공격을 이해하기에 좋은 장소입니다.

데이터 검증, 청소 및 탈출

모든 소스 (예 : 사용자, 네트워크 서비스, API 등)의 입력 데이터를 수락하기 전에 기대치를 충족하고 유효한지 확인해야합니다. 이 작업을 verification 라고합니다.
• 예를 들어, 웹 사이트의 양식을 통해 사용자로부터 이메일을 수집하는 경우, 코드는 사용자가 텍스트 입력을 입력했는지 (예 : 일부 숫자가 아님)를 확인하고 해당 입력이 유효한 것에 해당합니다. 하나의 이메일 주소를 한 다음 데이터를 데이터베이스에 입력하십시오.
당신은 이런 종류의 수표가 주제에서 거의 불필요하다고 생각할 수 있습니다. 실제로 양식을 포함시키기 위해 테마 대신 플러그인을 사용하는 것이 좋습니다. 그러나 이것은 정확히 그렇지 않습니다. 예를 들어, 커스터마이저를 통해 주제 옵션을 추가하려는 경우 사용자의 입력에서 일부 데이터 검증을 수행해야 할 수도 있습니다.
• 사용자로부터 데이터를 필터링 또는 정리, 네트워크 서비스 등을 포함하여 는 곧 데이터베이스에 저장 될 예정입니다. 이 과정에서는 JavaScript 문, 특수 문자 등과 같이 해를 입힐 수 있거나 필요하지 않은 데이터에서 모든 것을 삭제할 수 있습니다.
• Escape
특수 문자 삭제, 인코딩 된 HTML 문자 등과 같은 안전한 데이터 표시 보장 등 여기에서 권장되는 접근법은 가능한 빨리 빠져 나가는 것입니다. 즉, 화면에 데이터가 표시되기 전에 탈출하는 것입니다.

WordPress 테마에서 많은 정리를하고 탈출해야합니다. 실제로 보안상의 이유로 가장 좋은 방법은 모든 동적 데이터, 즉 HTML 소스 코드에서 하드 코딩되지 않은 데이터를 정리/탈출하는 것입니다.

WordPress Verification Function

여러 편리한 PHP 기능을 사용하여 기본 검증을 수행 할 수 있습니다. 예를 들어, 변수가 존재하지 않는지 또는 값이 false 로 설정되어 있는지 확인하려면 를 사용할 수 있습니다.

그러나 바람을 확인하기 위해 WordPress는 이러한 유용한 기능을 제공합니다.

기능을 사용하여 데이터가 유효한 이메일 주소인지 확인할 수 있습니다.

예 :

 if ( is_email( 'test@domain.com' ) ) {
   echo '有效的电子邮件地址。';
 }

유효한 사용자 이름을 확인하려면 WordPress가

: 를 제공합니다. username_exists( $username )

 $username = 'testuser';
 if ( username_exists( $username ) ):
   echo "用户名已存在。";
 endif;

태그, 카테고리 또는 기타 분류 학적 용어가 있는지 확인하려면 : 를 사용할 수 있습니다.

term_exists( $term, $taxonomy = '', $parent = null ) 파일 경로가 유효한지 확인하려면 (존재하는 경우가 아님) : 를 사용하십시오.

 // 检查类别“cats”是否存在
 $term = term_exists('cats', 'category');
 if ($term !== 0 && $term !== null) {
   echo "“cats”类别存在。";
 }

WordPress Cleanup/Escape Function

내장 된 WordPress 기능을 사용하여 데이터를 정리하고 탈출하는 것이 가장 빠르고 안전한 방법이므로 첫 번째 선택으로 만드십시오. validate_file( $file, $allowed_files ) 다음은 WordPress 테마를 개발할 때 자주 사용하는 일부 기능입니다.

 $path = 'uploads/2017/05/myfile.php';
 // 返回 0（有效路径）
 return validate_file( $path );

유효한 이메일 주소로 허용되지 않는 모든 문자를 삭제하십시오. Codex 항목의 예는 다음과 같습니다

커스터마이저 입력의 값과 같은 옵션의 특성에 따라 옵션 값을 정리하십시오. 예는 다음과 같습니다.

사용자 또는 데이터베이스가 제공 한 문자열 정리이지만이를 사용하여 일반 텍스트가 되고자하는 데이터를 정리할 수 있습니다.

및
• WordPress Customizer의 맥락에서 작동합니다.

  주제는 사용자가 다양한 웹 사이트 요소에 대한 색상을 선택할 수있을 때 매우 편리합니다. sanitize_email( $email ) 첫 번째 함수는 # 기호로 접두사로 된 16 진 색상 항목을 확인하고 두 번째 함수는 #없이 색상 데이터를 처리합니다.

  WordPress.org 코드 참조의 예 : <pre class='brush:php;toolbar:false;'> $sanitized_email = sanitize_email(' admin@example.com! '); // 将输出：admin@example.com echo $sanitized_email;

• 필터 컨텐츠는 허용되는 HTML 태그 만 남습니다. Customizer 컨텍스트에서, 이것은 주제가 사용자가 HTML 형식으로 일부 텍스트를 입력 할 수있는 경우에 매우 유용합니다. sanitize_option( $option, $value )

   sanitize_option( 'admin_email', 'admin@test.com!' );

는 HTML 블록을 피하는 간단한 방법입니다. 예를 들어, HTML 태그 내부에 일부 텍스트를 출력 하여이 텍스트 자체가 HTML 태그 또는 기타 유효하지 않은 문자가 포함되어 있지 않은지 확인하려면 다음을 작성할 수 있습니다.

• sanitize_text_field( $str )

  는 HREF 및 SRC 속성의 URL을 포함하여 URL을 확인하고 청소할 때 유용합니다. 예를 들면 :

   // 输出：标题
   echo sanitize_text_field('<h1 id="标题">标题</h1>');

• 동적 출력을위한 테마에 대한 html 속성 : sanitize_hex_color( $color ) sanitize_hex_color_no_hash( $color )

  를 사용하여 사용자가 텍스트 영역에서 입력 한 텍스트를 피할 수 있습니다.

  리소스

   $wp_customize->add_setting( 'accent_color', array(
     'default' => '#f72525',
     'sanitize_callback' => 'sanitize_hex_color',
   ) );

  다음과 같은 훌륭한 리소스는 WordPress 테마에서 보안 코드를 작성하는 데 실제로 도움이됩니다.
  WordPress.org의 테마 보안 테마 매뉴얼 안전한 글쓰기 주제 안내서, Frank Klein
WordPress, Narayan Prusty의 데이터를 청소하고 탈출하고 검증하십시오 <: :> WordPress 테마 : XSS 취약점 및 안전한 코딩 관행, Tony Perez WordPress, Ben Lobaugh에 보안 플러그인 및 테마 작성.

또는, 호스팅 제공 업체가 우리가 조직 한이 편리한 비교에서 WordPress 보안을 도울 수있는 방법을 배울 수 있습니다.

테마 개발 자체에 관심이 있다면 Sitepoint의 "첫 번째 WordPress 테마 빌드"코스에서 학습하여 기본 테마를 처음부터 만드는 법을 배울 수 있습니다. 결론

보안은 모든 WordPress 개발자의 최상위 여야합니다. WordPress는 테마에 삽입 할 수있는 많은 기성품 기능을 제공함으로써 좋은 출발을 제공합니다.

따라서 WordPress를 사용하여 기능을 검증하고 청소/탈출하는 것은 안전하고 신뢰할 수있는 WordPress 테마를 작성하기 시작할 수있는 가장 쉬운 방법입니다 (사용자는 신뢰하는 법을 배웁니다).

WordPress 테마 나 플러그인을 작성할 때 보안을 얼마나 고려합니까? 보안 문제를 어떻게 해결합니까? 아래의 댓글 상자를 클릭하여 공유하십시오!

WordPress 테마 검증 및 탈출 함수 > FAQ WordPress 코딩 표준이란 무엇이며 왜 중요한가?

WordPress 코딩 표준은 WordPress 코드의 일관성과 품질을 보장하기 위해 WordPress가 공식화 한 특정 규칙 및 지침 세트입니다. 이러한 표준은 코드를 쉽게 읽고 이해하고 유지할 수 있기 때문에 중요합니다. 또한 일반적인 인코딩 오류 및 보안 취약점을 방지하는 데 도움이됩니다. 개발자의 경우 테마 및 플러그인이 WordPress 및 기타 테마 및 플러그인과 호환되도록하는 데 필수적입니다.

WordPress 코드를 안전하게 편집하는 방법은 무엇입니까?

WordPress 코드 편집은 제대로 수행되지 않으면 위험 할 수 있습니다. 테마 코드를 변경할 때 하위 주제를 사용하는 것이 좋습니다. 이렇게하면 원래 테마에 영향을 미치지 않고 변경할 수 있습니다. 또한 변경하기 전에 웹 사이트를 백업하십시오. WordPress 편집기 대신 적절한 코드 편집기를 사용하여 코드를 편집하십시오. 마지막으로 스테이징 사이트의 변경 사항을 테스트하여 라이브 사이트에 적용하십시오.

질적 분석에서 코드와 주제의 차이점은 무엇입니까? 질적 분석에서 코드는 데이터를 레이블, 컴파일 및 구성하는 데 사용되며 주제는 데이터의 패턴과 관계를 식별하는 데 사용됩니다. 코드는 일반적으로 특정 데이터 조각을 나타내는 단일 단어 또는 문구입니다. 반면에, 주제는 더 넓으며 인코딩 된 데이터에서 나오는 더 큰 개념이나 아이디어를 나타냅니다. 테마 코딩이란 무엇이며 WordPress에서 어떻게 작동합니까?

테마 코딩은 정 성적 연구에서 데이터의 패턴 또는 주제를 식별하고 분석하는 데 사용되는 방법입니다. WordPress에서 테마 코딩은 특정 디자인 또는 기능으로 테마를 개발하는 프로세스를 참조 할 수 있습니다. 여기에는 주제의 의도 된 디자인 또는 기능을 반영하는 방식으로 코드를 작성하고 구성하는 것이 포함됩니다.

WordPress의 검증 및 탈출 기능이란 무엇입니까?

검증 및 탈출 기능은 WordPress의 보안 측정입니다. 검증은 처리하기 전에 특정 조건을 충족하는지 확인하기 위해 사용자가 입력 한 데이터를 확인하는 프로세스입니다. Escape는 보안 취약점을 유발할 수있는 유해한 데이터를 제거하여 출력이 안전하게 보장하는 프로세스입니다. 이러한 기능은 SQL 주입 및 크로스 사이트 스크립팅 (XSS)과 같은 보안 문제를 방지하는 데 중요합니다.

WordPress에서 데이터를 확인하고 탈출하는 것이 왜 중요한가?

검증 및 탈출 데이터는 WordPress 웹 사이트를 안전하게 유지하는 데 매우 중요합니다. 이러한 프로세스가 없으면 웹 사이트를 공격 할 수 있으며 공격자는 웹 사이트에 유해한 데이터를 주입하여 잠재적 인 데이터 손실 또는 웹 사이트에 대한 무단 액세스를 초래할 수 있습니다.

WordPress에서 데이터를 확인하고 탈출하는 방법은 무엇입니까?

WordPress는 데이터를 검증하고 탈출하기위한 일부 기능을 제공합니다. 예를 들어, 함수를 사용하여 텍스트 입력을 확인하고 함수를 사용하여 HTML 출력을 탈출 할 수 있습니다. 사용자 입력을 처리하거나 브라우저에 데이터를 출력 할 때는 이러한 기능을 사용해야합니다.

보안 WordPress 코드를 작성하기위한 모범 사례는 무엇입니까?

보안 WordPress 코드를 작성하기위한 몇 가지 모범 사례에는 WordPress 코딩 표준, 모든 데이터 검증, 요청 소스를 검증하기 위해 NONCE를 사용하여 모든 데이터 검증 및 도피, 작업을 수행하기 전에 사용자 권한을 확인하고 WordPress, 테마 및 플러그인을 유지하는 것이 포함됩니다. 날짜.

WordPress 코딩 표준에 대해 더 많이 배우는 방법은 무엇입니까?

WordPress 개발자 매뉴얼은 WordPress 코딩 표준 학습을위한 훌륭한 리소스입니다. 그것은 표준의 자세한 설명과 예를 제공합니다. WordPress 코딩 표준을 다루는 많은 온라인 튜토리얼과 코스도 있습니다.

WordPress를 인코딩 할 때 피해야 할 일반적인 실수는 무엇입니까?

WordPress를 인코딩 할 때 피해야 할 몇 가지 일반적인 실수에는 WordPress 인코딩 표준을 따르지 않고 데이터를 확인하거나 탈출하는 것이 포함되지 않음, 폼 제출에 NonCE를 사용하지 않고 WordPress, 테마 및 플러그인을 최신 상태로 유지하지 않습니다. . sanitize_text_field()

위 내용은 내장 된 WordPress 기능으로 안전한 테마를 코딩합니다의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!