核心要點(diǎn)

• WordPress 開發(fā)者應(yīng)將所有數(shù)據(jù)視為不安全，直到證明其安全為止；盡可能使用 WordPress 函數(shù)；並保持代碼更新，以確保主題的安全性。
• SQL 注入、跨站腳本 (XSS) 和跨站請求偽造 (CSRF) 是開發(fā)者在編寫 WordPress 主題時(shí)需要注意的常見威脅。
• 驗(yàn)證、清理和轉(zhuǎn)義對於 WordPress 主題安全至關(guān)重要。驗(yàn)證確保輸入數(shù)據(jù)符合預(yù)期；清理在將數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫之前對其進(jìn)行過濾或清理；轉(zhuǎn)義確保數(shù)據(jù)安全顯示。
• WordPress 提供許多內(nèi)置的驗(yàn)證、清理和轉(zhuǎn)義函數(shù)。這些函數(shù)包括is_email()、username_exists()、term_exists()、validate_file()、sanitize_email()、sanitize_option()、sanitize_text_field()、sanitize_hex_color()、wp_kses_post()、esc_html()、esc_url()、esc_attr()和esc_textarea()。

本文是與 SiteGround 合作創(chuàng)作的系列文章的一部分。感謝您支持使 SitePoint 成為可能的合作夥伴。

鑑於 WordPress 佔(zhàn)據(jù)了 27% 的網(wǎng)絡(luò)份額，安全性是任何在這一廣受歡迎的開源平臺(tái)上運(yùn)行網(wǎng)站的人的首要關(guān)注點(diǎn)。儘管 WordPress 核心代碼的安全性由專門的開發(fā)團(tuán)隊(duì)負(fù)責(zé)維護(hù)，但數(shù)千個(gè)第三方插件和主題卻並非如此，這些插件和主題擴(kuò)展了 WordPress 的功能，使其幾乎可以完成任何您想要的操作。僅僅一個(gè)存在漏洞的插件或主題就可能對數(shù)百萬個(gè)網(wǎng)站構(gòu)成高風(fēng)險(xiǎn)。

除非您使用可靠的託管服務(wù)提供商（例如我們的合作夥伴SiteGround），該提供商允許自動(dòng)更新WordPress 插件並定期進(jìn)行安全檢查，否則您的網(wǎng)站主題和插件的安全性完全取決於您自己。

在本文中，我將介紹一些準(zhǔn)則和 WordPress 函數(shù)，您可以在 WordPress 主題開發(fā)中應(yīng)用這些準(zhǔn)則和函數(shù)，以確保您的產(chǎn)品在編寫時(shí)就將用戶的安全放在首位。

安全意識(shí)強(qiáng)的開發(fā)者的原則

對於專門的 WordPress 插件和主題開發(fā)者而言，安全性是他們在編寫每一行代碼時(shí)都放在首位的因素。

編寫安全 WordPress 主題的整體方法包括關(guān)注以下一般原則：

• 將所有數(shù)據(jù)視為不安全，直到證明其安全為止。
• 盡可能使用 WordPress 函數(shù)。大多數(shù) WordPress API 都具有內(nèi)置的安全機(jī)制，這意味著使用它們可以大大降低代碼面臨漏洞的風(fēng)險(xiǎn)。
• 使用最新的技術(shù)和最佳實(shí)踐使您的代碼保持最新。

需要注意的事項(xiàng)

您需要注意的最常見威脅是：

• SQL 注入：攻擊者註入惡意的 SQL 代碼以控製網(wǎng)站的數(shù)據(jù)庫服務(wù)器。
• 跨站腳本 (XSS)：攻擊者將惡意的 JavaScript 代碼注入網(wǎng)頁。
• 跨站請求偽造 (CSRF)：攻擊者強(qiáng)制用戶在已通過身份驗(yàn)證的網(wǎng)站上執(zhí)行不需要的操作。

網(wǎng)絡(luò)安全一直在發(fā)展，因此了解最新的威脅至關(guān)重要。在 WordPress 方面，Sucuri 博客是了解漏洞和攻擊的好地方。

數(shù)據(jù)驗(yàn)證、清理和轉(zhuǎn)義

在接受來自任何來源（例如用戶、網(wǎng)絡(luò)服務(wù)、API 等）的任何輸入數(shù)據(jù)之前，您必須檢查它是否符合您的預(yù)期並且有效。此任務(wù)稱為驗(yàn)證。

例如，如果您通過網(wǎng)站上的表單收集用戶的電子郵件，則您的代碼需要檢查用戶是否輸入了一些文本輸入（例如，不是一些數(shù)字或什麼都沒有），並且該輸入對應(yīng)於有效的電子郵件地址，然後再將該數(shù)據(jù)輸入數(shù)據(jù)庫。

您可能認(rèn)為這種檢查在主題中幾乎不需要。實(shí)際上，最好使用插件而不是主題來包含表單。但是，情況並非完全如此。例如，如果您計(jì)劃通過自定義器添加主題選項(xiàng)，則可能需要對用戶的輸入執(zhí)行一些數(shù)據(jù)驗(yàn)證。

清理包括過濾或清理來自用戶、網(wǎng)絡(luò)服務(wù)等的數(shù)據(jù)，這些數(shù)據(jù)即將存儲(chǔ)到數(shù)據(jù)庫中。在此過程中，您可以刪除數(shù)據(jù)中可能造成危害或不需要的任何內(nèi)容，例如 JavaScript 語句、特殊字符等。

轉(zhuǎn)義包括確保數(shù)據(jù)安全顯示，例如刪除特殊字符、編碼 HTML 字符等。這裡的推薦做法是盡可能晚地進(jìn)行轉(zhuǎn)義，即在屏幕上顯示數(shù)據(jù)之前進(jìn)行轉(zhuǎn)義。

您需要在 WordPress 主題中進(jìn)行大量的清理和轉(zhuǎn)義。實(shí)際上，為了安全起見，最好的方法是清理/轉(zhuǎn)義所有動(dòng)態(tài)數(shù)據(jù)，即在 HTML 源代碼中未硬編碼的任何數(shù)據(jù)。

WordPress 驗(yàn)證函數(shù)

您可以使用許多方便的 PHP 函數(shù)執(zhí)行基本驗(yàn)證。

例如，要檢查變量是否不存在或其值設(shè)置為false，可以使用 empty()。

但是，為了使驗(yàn)證變得輕而易舉，WordPress 提供了這些有用的函數(shù)。

• 您可以使用 is_email( $email ) 函數(shù)檢查數(shù)據(jù)是否是有效的電子郵件地址。

  例如：

   if ( is_email( 'test@domain.com' ) ) {
     echo '有效的電子郵件地址。';
   }

• 要檢查有效的用戶名，WordPress 提供了 username_exists( $username )：

   $username = 'testuser';
   if ( username_exists( $username ) ):
     echo "用戶名已存在。";
   endif;

• 要確保標(biāo)籤、類別或其他分類法術(shù)語存在，您可以使用 term_exists( $term, $taxonomy = '', $parent = null )：

   // 檢查類別“cats”是否存在
   $term = term_exists('cats', 'category');
   if ($term !== 0 && $term !== null) {
     echo "“cats”類別存在。";
   }

• 要確保文件路徑有效（但不是如果它存在），請使用 validate_file( $file, $allowed_files )：

   $path = 'uploads/2017/05/myfile.php';
   // 返回 0（有效路徑）
   return validate_file( $path );

WordPress 清理/轉(zhuǎn)義函數(shù)

使用內(nèi)置的 WordPress 函數(shù)來清理和轉(zhuǎn)義數(shù)據(jù)是完成這項(xiàng)工作的最快捷、最安全的方法，因此請將其作為您的首選。

以下只是一些我在開發(fā) WordPress 主題時(shí)經(jīng)常使用的函數(shù)。

• sanitize_email( $email ) 刪除在有效電子郵件地址中不允許的所有字符。這是一個(gè)來自 Codex 條目的示例：

   $sanitized_email = sanitize_email(' admin@example.com!  ');
   // 將輸出：admin@example.com
   echo $sanitized_email;

• sanitize_option( $option, $value ) 根據(jù)選項(xiàng)的性質(zhì)清理選項(xiàng)值，例如來自自定義器輸入的值。這是一個(gè)示例：

   sanitize_option( 'admin_email', 'admin@test.com!' );

• sanitize_text_field( $str ) 清理用戶或數(shù)據(jù)庫提供的字符串，但您可以使用它來清理任何您希望僅為純文本的數(shù)據(jù)：

   // 輸出：標(biāo)題
   echo sanitize_text_field('<h1>標(biāo)題</h1>');

• sanitize_hex_color( $color ) 和 sanitize_hex_color_no_hash( $color ) 在 WordPress 自定義器的上下文中工作。

  當(dāng)您的主題允許用戶為各種網(wǎng)站元素選擇顏色時(shí)，它們非常方便。

  第一個(gè)函數(shù)驗(yàn)證以 # 符號為前綴的十六進(jìn)制顏色條目，而第二個(gè)函數(shù)處理沒有 # 的顏色數(shù)據(jù)。

  來自 WordPress.org 代碼參考的示例：

   $wp_customize->add_setting( 'accent_color', array(
     'default' => '#f72525',
     'sanitize_callback' => 'sanitize_hex_color',
   ) );

• wp_kses_post( $data ) 過濾內(nèi)容，只留下允許的 HTML 標(biāo)籤。在自定義器上下文中，當(dāng)您的主題允許用戶輸入一些帶有 HTML 格式的文本時(shí)，這非常有用：

   function yourtheme_sanitize_html( $input ) {
     return wp_kses_post( force_balance_tags( $input ) );
   }

• esc_html( $text ) 是一種簡單的轉(zhuǎn)義 HTML 塊的方法。例如，如果您想在 HTML 標(biāo)籤內(nèi)輸出一些文本，以確保此文本本身不包含任何 HTML 標(biāo)籤或其他無效字符，您可以編寫：

   <h2><?php echo esc_html( $title ); ?></h2>

• esc_url( $url ) 在您想要檢查和清理 URL（包括 href 和 src 屬性中的 URL）時(shí)非常有用。例如：

   <a href="http://miracleart.cn/link/9e52112668804599bae71e241e4b4548'https://website.com' ); ?>">很棒的網(wǎng)站</a>

• esc_attr( $text ) 用於您的主題動(dòng)態(tài)輸出 HTML 屬性的任何地方：

   <a href="http://miracleart.cn/link/1649f854581e9c03bc2c4e06023c5b99'/' ) ); ?>" rel="home"></a>

• 您可以使用 esc_textarea( $text ) 來轉(zhuǎn)義用戶在文本區(qū)域中鍵入的文本：

   <textarea><?php echo esc_textarea( $text ); ?></textarea>

資源

以下很棒的資源對我真正掌握在 WordPress 主題中編寫安全代碼非常有幫助：

• WordPress.org 主題手冊中的主題安全性
• 安全編寫主題指南，F(xiàn)rank Klein
• 在 WordPress 中清理、轉(zhuǎn)義和驗(yàn)證數(shù)據(jù)，Narayan Prusty
• WordPress 主題：XSS 漏洞和安全編碼實(shí)踐，Tony Perez
• 以 WordPress 的方式編寫安全的插件和主題，Ben Lobaugh。

或者，您可以在我們?yōu)槟淼倪@份方便的比較中了解託管服務(wù)提供商如何在 WordPress 安全性方面提供幫助。

如果您對主題開發(fā)本身感興趣，您可以學(xué)習(xí)從頭開始創(chuàng)建一個(gè)基本的主題，方法是在 SitePoint 的“構(gòu)建您的第一個(gè) WordPress 主題”課程中學(xué)習(xí)：加載播放器……

結(jié)論

安全性必須放在所有 WordPress 開發(fā)者的首位。 WordPress 通過提供大量您可以插入主題中的現(xiàn)成函數(shù)，讓您有一個(gè)良好的開端。

因此，使用 WordPress 驗(yàn)證和清理/轉(zhuǎn)義函數(shù)是您開始編寫安全可靠的 WordPress 主題（用戶將學(xué)會(huì)信任）的最簡單方法。

在編寫 WordPress 主題或插件時(shí)，您對安全性考慮了多少？您如何解決安全問題？

點(diǎn)擊下面的評論框分享！

關(guān)於 WordPress 主題驗(yàn)證和轉(zhuǎn)義函數(shù)的常見問題解答

什麼是 WordPress 編碼標(biāo)準(zhǔn)，為什麼它們很重要？

WordPress 編碼標(biāo)準(zhǔn)是由 WordPress 制定的一套特定規(guī)則和指南，以確保 WordPress 代碼的一致性和質(zhì)量。這些標(biāo)準(zhǔn)很重要，因?yàn)樗鼈兪勾a更易於閱讀、理解和維護(hù)。它們還有助於防止常見的編碼錯(cuò)誤和安全漏洞。對於開發(fā)者而言，遵循這些標(biāo)準(zhǔn)對於確保其主題和插件與 WordPress 及其他主題和插件兼容至關(guān)重要。

如何安全地編輯 WordPress 代碼？

如果操作不當(dāng)，編輯 WordPress 代碼可能會(huì)很危險(xiǎn)。建議在更改主題代碼時(shí)使用子主題。這樣，您就可以進(jìn)行更改而不會(huì)影響原始主題。此外，在進(jìn)行任何更改之前，務(wù)必備份您的網(wǎng)站。使用合適的代碼編輯器，而不是 WordPress 編輯器來編輯代碼。最後，在將更改應(yīng)用於您的實(shí)時(shí)網(wǎng)站之前，請?jiān)跁捍婢W(wǎng)站上測試您的更改。

定性分析中代碼和主題的區(qū)別是什麼？

在定性分析中，代碼用於標(biāo)記、編譯和組織您的數(shù)據(jù)，而主題用於識(shí)別數(shù)據(jù)中的模式和關(guān)係。代碼通常是表示特定數(shù)據(jù)片段的單個(gè)單詞或短語。另一方面，主題更廣泛，代表從編碼數(shù)據(jù)中出現(xiàn)的更大的概念或想法。

什麼是主題編碼，它如何在 WordPress 中使用？

主題編碼是定性研究中使用的一種方法，用於識(shí)別和分析數(shù)據(jù)中的模式或主題。在 WordPress 中，主題編碼可以指開發(fā)具有特定設(shè)計(jì)或功能的主題的過程。這涉及以反映主題預(yù)期設(shè)計(jì)或功能的方式編寫和組織代碼。

什麼是 WordPress 中的驗(yàn)證和轉(zhuǎn)義函數(shù)？

驗(yàn)證和轉(zhuǎn)義函數(shù)是 WordPress 中的安全措施。驗(yàn)證是檢查用戶輸入的數(shù)據(jù)以確保其在處理之前符合特定條件的過程。轉(zhuǎn)義是通過去除可能導(dǎo)致安全漏洞的有害數(shù)據(jù)來確保輸出安全的過程。這些函數(shù)對於防止 SQL 注入和跨站腳本 (XSS) 等安全問題至關(guān)重要。

為什麼在 WordPress 中驗(yàn)證和轉(zhuǎn)義數(shù)據(jù)很重要？

驗(yàn)證和轉(zhuǎn)義數(shù)據(jù)對於確保 WordPress 網(wǎng)站的安全非常重要。如果沒有這些過程，您的網(wǎng)站可能會(huì)受到攻擊，攻擊者會(huì)將有害數(shù)據(jù)注入您的網(wǎng)站，從而導(dǎo)致潛在的數(shù)據(jù)丟失或未經(jīng)授權(quán)訪問您的網(wǎng)站。

如何在 WordPress 中驗(yàn)證和轉(zhuǎn)義數(shù)據(jù)？

WordPress 提供了一些用於驗(yàn)證和轉(zhuǎn)義數(shù)據(jù)的函數(shù)。例如，您可以使用 sanitize_text_field() 函數(shù)驗(yàn)證文本輸入，並使用 esc_html() 函數(shù)轉(zhuǎn)義 HTML 輸出。在處理用戶輸入或?qū)?shù)據(jù)輸出到瀏覽器時(shí)，務(wù)必使用這些函數(shù)。

編寫安全 WordPress 代碼的最佳實(shí)踐是什麼？

編寫安全 WordPress 代碼的一些最佳實(shí)踐包括遵循 WordPress 編碼標(biāo)準(zhǔn)、驗(yàn)證和轉(zhuǎn)義所有數(shù)據(jù)、使用 nonce 驗(yàn)證請求來源、在執(zhí)行操作之前檢查用戶權(quán)限以及使 WordPress、主題和插件保持最新。

如何了解更多關(guān)於 WordPress 編碼標(biāo)準(zhǔn)的信息？

WordPress 開發(fā)者手冊是學(xué)習(xí) WordPress 編碼標(biāo)準(zhǔn)的絕佳資源。它提供了對標(biāo)準(zhǔn)的詳細(xì)解釋和示例。還提供許多在線教程和課程，涵蓋 WordPress 編碼標(biāo)準(zhǔn)。

在為 WordPress 編碼時(shí)應(yīng)避免的一些常見錯(cuò)誤是什麼？

在為 WordPress 編碼時(shí)應(yīng)避免的一些常見錯(cuò)誤包括不遵循 WordPress 編碼標(biāo)準(zhǔn)、不驗(yàn)證或轉(zhuǎn)義數(shù)據(jù)、硬編碼 URL、不使用 nonce 進(jìn)行表單提交以及不使 WordPress、主題和插件保持最新。

以上是用內(nèi)置的WordPress函數(shù)編碼安全主題的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！