简介
WordPress开发团队认真对待安全问题。由于网络的大部分都依赖于平台的完整性,安全是必要的。虽然核心开发者有一个专门的团队专注于核心平台的安全,但作为一个主题开发者,你很清楚在核心之外还有很多潜在的东西可能是脆弱的。因为WordPress提供了如此多的功能和灵活性,所以插件和主题是关键的薄弱点。
养成安全意识
在开发主题时,重要的是在你增加功能时考虑安全问题。在你开始你的主题开发工作时,使用以下原则:
- 不要相信任何数据,不要相信用户的输入、第三方API或你的数据库中的数据而不去验证。保护你的WordPress主题,首先要确保进入和离开你的主题的数据是符合预期的。始终确保在输入时进行验证,并在使用或输出前对数据进行净化(转义)。
- 依靠WordPress的API,许多WordPress的核心函数提供了验证和净化数据的内置功能。尽可能依靠WordPress提供的功能。
- 保持你的主题是最新的,随着技术的发展,你的主题也有可能出现新的安全漏洞。保持警惕,维护你的代码并根据需要更新你的主题。
本章提供了一些关于使用数据验证和净化/转义技术编写安全主题的背景,使用nonces来生成安全令牌,并回顾了常见的安全攻击,以及如何加强你的主题以预防它们。
扩展资源
- 编写WordPress主题指南 - WordPress.org博客系列
- Sucuri 安全博客