Websecurity - Веб безпека

В статті Writing Secure WP Plugins David Kierznowski розповідає про правильні підходи до написання плагінів для WordPress. Про те, як написати безпечний плагін для WP.

В статті наводяться рекомендації по використанню наступних секюріті механізмів:

• attribute_escape - для захисту від XSS уразливостей.
• wp_nonce - для захисту від CSRF уразливостей.

Обидва механізми є вбудованими в движок. Окрім них, звісно можна використовувати й інши функції мови PHP та розробляти власні функції для захисту від різних атак та уразливостей. Але зокрема для протидії XSS та CSRF можна використовувати дані механізми.

Додам, що слідкувати за безпекою власних веб додатків потрібно не тільки розробникам плагінів для WP, але й розробникам шаблонів для WP. Тому що уразливості трапляються як в плагінах, так і темах для WordPress.

This entry was posted on 22:43 25.03.2011 and is filed under Статті. You can follow any responses to this entry through the RSS 2.0 feed.