Написання безпечних плагінів для WordPress
22:43 25.03.2011В статті Writing Secure WP Plugins David Kierznowski розповідає про правильні підходи до написання плагінів для WordPress. Про те, як написати безпечний плагін для WP.
В статті наводяться рекомендації по використанню наступних секюріті механізмів:
- attribute_escape - для захисту від XSS уразливостей.
- wp_nonce - для захисту від CSRF уразливостей.
Обидва механізми є вбудованими в движок. Окрім них, звісно можна використовувати й інши функції мови PHP та розробляти власні функції для захисту від різних атак та уразливостей. Але зокрема для протидії XSS та CSRF можна використовувати дані механізми.
Додам, що слідкувати за безпекою власних веб додатків потрібно не тільки розробникам плагінів для WP, але й розробникам шаблонів для WP. Тому що уразливості трапляються як в плагінах, так і темах для WordPress.