核心要點

• WordPress 開發(fā)者應(yīng)將所有數(shù)據(jù)視為不安全，直到證明其安全為止；盡可能使用 WordPress 函數(shù)；並保持代碼更新，以確保主題的安全性。
• SQL 注入、跨站腳本 (XSS) 和跨站請求偽造 (CSRF) 是開發(fā)者在編寫 WordPress 主題時需要注意的常見威脅。
• 驗證、清理和轉(zhuǎn)義對於 WordPress 主題安全至關(guān)重要。驗證確保輸入數(shù)據(jù)符合預(yù)期；清理在將數(shù)據(jù)存儲到數(shù)據(jù)庫之前對其進行過濾或清理；轉(zhuǎn)義確保數(shù)據(jù)安全顯示。
• WordPress 提供許多內(nèi)置的驗證、清理和轉(zhuǎn)義函數(shù)。這些函數(shù)包括is_email()、username_exists()、term_exists()、validate_file()、sanitize_email()、sanitize_option()、sanitize_text_field()、sanitize_hex_color()、wp_kses_post()、esc_html()、esc_url()、esc_attr()和esc_textarea()。

本文是與 SiteGround 合作創(chuàng)作的系列文章的一部分。感謝您支持使 SitePoint 成為可能的合作夥伴。

鑑於 WordPress 佔據(jù)了 27% 的網(wǎng)絡(luò)份額，安全性是任何在這一廣受歡迎的開源平臺上運行網(wǎng)站的人的首要關(guān)注點。儘管 WordPress 核心代碼的安全性由專門的開發(fā)團隊負責(zé)維護，但數(shù)千個第三方插件和主題卻並非如此，這些插件和主題擴展了 WordPress 的功能，使其幾乎可以完成任何您想要的操作。僅僅一個存在漏洞的插件或主題就可能對數(shù)百萬個網(wǎng)站構(gòu)成高風(fēng)險。

除非您使用可靠的託管服務(wù)提供商（例如我們的合作夥伴SiteGround），該提供商允許自動更新WordPress 插件並定期進行安全檢查，否則您的網(wǎng)站主題和插件的安全性完全取決於您自己。

在本文中，我將介紹一些準則和 WordPress 函數(shù)，您可以在 WordPress 主題開發(fā)中應(yīng)用這些準則和函數(shù)，以確保您的產(chǎn)品在編寫時就將用戶的安全放在首位。

安全意識強的開發(fā)者的原則

對於專門的 WordPress 插件和主題開發(fā)者而言，安全性是他們在編寫每一行代碼時都放在首位的因素。

編寫安全 WordPress 主題的整體方法包括關(guān)注以下一般原則：

• 將所有數(shù)據(jù)視為不安全，直到證明其安全為止。
• 盡可能使用 WordPress 函數(shù)。大多數(shù) WordPress API 都具有內(nèi)置的安全機制，這意味著使用它們可以大大降低代碼面臨漏洞的風(fēng)險。
• 使用最新的技術(shù)和最佳實踐使您的代碼保持最新。

需要注意的事項

您需要注意的最常見威脅是：

• SQL 注入：攻擊者註入惡意的 SQL 代碼以控製網(wǎng)站的數(shù)據(jù)庫服務(wù)器。
• 跨站腳本 (XSS)：攻擊者將惡意的 JavaScript 代碼注入網(wǎng)頁。
• 跨站請求偽造 (CSRF)：攻擊者強制用戶在已通過身份驗證的網(wǎng)站上執(zhí)行不需要的操作。

網(wǎng)絡(luò)安全一直在發(fā)展，因此了解最新的威脅至關(guān)重要。在 WordPress 方面，Sucuri 博客是了解漏洞和攻擊的好地方。

數(shù)據(jù)驗證、清理和轉(zhuǎn)義

在接受來自任何來源（例如用戶、網(wǎng)絡(luò)服務(wù)、API 等）的任何輸入數(shù)據(jù)之前，您必須檢查它是否符合您的預(yù)期並且有效。此任務(wù)稱為驗證。

例如，如果您通過網(wǎng)站上的表單收集用戶的電子郵件，則您的代碼需要檢查用戶是否輸入了一些文本輸入（例如，不是一些數(shù)字或什麼都沒有），並且該輸入對應(yīng)於有效的電子郵件地址，然後再將該數(shù)據(jù)輸入數(shù)據(jù)庫。

您可能認為這種檢查在主題中幾乎不需要。實際上，最好使用插件而不是主題來包含表單。但是，情況並非完全如此。例如，如果您計劃通過自定義器添加主題選項，則可能需要對用戶的輸入執(zhí)行一些數(shù)據(jù)驗證。

清理包括過濾或清理來自用戶、網(wǎng)絡(luò)服務(wù)等的數(shù)據(jù)，這些數(shù)據(jù)即將存儲到數(shù)據(jù)庫中。在此過程中，您可以刪除數(shù)據(jù)中可能造成危害或不需要的任何內(nèi)容，例如 JavaScript 語句、特殊字符等。

轉(zhuǎn)義包括確保數(shù)據(jù)安全顯示，例如刪除特殊字符、編碼 HTML 字符等。這裡的推薦做法是盡可能晚地進行轉(zhuǎn)義，即在屏幕上顯示數(shù)據(jù)之前進行轉(zhuǎn)義。

您需要在 WordPress 主題中進行大量的清理和轉(zhuǎn)義。實際上，為了安全起見，最好的方法是清理/轉(zhuǎn)義所有動態(tài)數(shù)據(jù)，即在 HTML 源代碼中未硬編碼的任何數(shù)據(jù)。

WordPress 驗證函數(shù)

您可以使用許多方便的 PHP 函數(shù)執(zhí)行基本驗證。

例如，要檢查變量是否不存在或其值設(shè)置為false，可以使用 empty()。

但是，為了使驗證變得輕而易舉，WordPress 提供了這些有用的函數(shù)。

• 您可以使用 is_email( $email ) 函數(shù)檢查數(shù)據(jù)是否是有效的電子郵件地址。

  例如：

   if ( is_email( 'test@domain.com' ) ) {
     echo '有效的電子郵件地址。';
   }

• 要檢查有效的用戶名，WordPress 提供了 username_exists( $username )：

   $username = 'testuser';
   if ( username_exists( $username ) ):
     echo "用戶名已存在。";
   endif;

• 要確保標籤、類別或其他分類法術(shù)語存在，您可以使用 term_exists( $term, $taxonomy = '', $parent = null )：

   // 檢查類別“cats”是否存在
   $term = term_exists('cats', 'category');
   if ($term !== 0 && $term !== null) {
     echo "“cats”類別存在。";
   }

• 要確保文件路徑有效（但不是如果它存在），請使用 validate_file( $file, $allowed_files )：

   $path = 'uploads/2017/05/myfile.php';
   // 返回 0（有效路徑）
   return validate_file( $path );

WordPress 清理/轉(zhuǎn)義函數(shù)

使用內(nèi)置的 WordPress 函數(shù)來清理和轉(zhuǎn)義數(shù)據(jù)是完成這項工作的最快捷、最安全的方法，因此請將其作為您的首選。

以下只是一些我在開發(fā) WordPress 主題時經(jīng)常使用的函數(shù)。

• sanitize_email( $email ) 刪除在有效電子郵件地址中不允許的所有字符。這是一個來自 Codex 條目的示例：

   $sanitized_email = sanitize_email(' admin@example.com!  ');
   // 將輸出：admin@example.com
   echo $sanitized_email;

• sanitize_option( $option, $value ) 根據(jù)選項的性質(zhì)清理選項值，例如來自自定義器輸入的值。這是一個示例：

   sanitize_option( 'admin_email', 'admin@test.com!' );

• sanitize_text_field( $str ) 清理用戶或數(shù)據(jù)庫提供的字符串，但您可以使用它來清理任何您希望僅為純文本的數(shù)據(jù)：

   // 輸出：標題
   echo sanitize_text_field('<h1>標題</h1>');

• sanitize_hex_color( $color ) 和 sanitize_hex_color_no_hash( $color ) 在 WordPress 自定義器的上下文中工作。

  當您的主題允許用戶為各種網(wǎng)站元素選擇顏色時，它們非常方便。

  第一個函數(shù)驗證以 # 符號為前綴的十六進制顏色條目，而第二個函數(shù)處理沒有 # 的顏色數(shù)據(jù)。

  來自 WordPress.org 代碼參考的示例：

   $wp_customize->add_setting( 'accent_color', array(
     'default' => '#f72525',
     'sanitize_callback' => 'sanitize_hex_color',
   ) );

• wp_kses_post( $data ) 過濾內(nèi)容，只留下允許的 HTML 標籤。在自定義器上下文中，當您的主題允許用戶輸入一些帶有 HTML 格式的文本時，這非常有用：

   function yourtheme_sanitize_html( $input ) {
     return wp_kses_post( force_balance_tags( $input ) );
   }

• esc_html( $text ) 是一種簡單的轉(zhuǎn)義 HTML 塊的方法。例如，如果您想在 HTML 標籤內(nèi)輸出一些文本，以確保此文本本身不包含任何 HTML 標籤或其他無效字符，您可以編寫：

   <h2><?php echo esc_html( $title ); ?></h2>

• esc_url( $url ) 在您想要檢查和清理 URL（包括 href 和 src 屬性中的 URL）時非常有用。例如：

   <a href="http://m.miracleart.cn/link/9e52112668804599bae71e241e4b4548'https://website.com' ); ?>">很棒的網(wǎng)站</a>

• esc_attr( $text ) 用於您的主題動態(tài)輸出 HTML 屬性的任何地方：

   <a href="http://m.miracleart.cn/link/1649f854581e9c03bc2c4e06023c5b99'/' ) ); ?>" rel="home"></a>

• 您可以使用 esc_textarea( $text ) 來轉(zhuǎn)義用戶在文本區(qū)域中鍵入的文本：

   <textarea><?php echo esc_textarea( $text ); ?></textarea>

資源

以下很棒的資源對我真正掌握在 WordPress 主題中編寫安全代碼非常有幫助：

• WordPress.org 主題手冊中的主題安全性
• 安全編寫主題指南，F(xiàn)rank Klein
• 在 WordPress 中清理、轉(zhuǎn)義和驗證數(shù)據(jù)，Narayan Prusty
• WordPress 主題：XSS 漏洞和安全編碼實踐，Tony Perez
• 以 WordPress 的方式編寫安全的插件和主題，Ben Lobaugh。

或者，您可以在我們?yōu)槟淼倪@份方便的比較中了解託管服務(wù)提供商如何在 WordPress 安全性方面提供幫助。

如果您對主題開發(fā)本身感興趣，您可以學(xué)習(xí)從頭開始創(chuàng)建一個基本的主題，方法是在 SitePoint 的“構(gòu)建您的第一個 WordPress 主題”課程中學(xué)習(xí)：加載播放器……

結(jié)論

安全性必須放在所有 WordPress 開發(fā)者的首位。 WordPress 通過提供大量您可以插入主題中的現(xiàn)成函數(shù)，讓您有一個良好的開端。

因此，使用 WordPress 驗證和清理/轉(zhuǎn)義函數(shù)是您開始編寫安全可靠的 WordPress 主題（用戶將學(xué)會信任）的最簡單方法。

在編寫 WordPress 主題或插件時，您對安全性考慮了多少？您如何解決安全問題？

點擊下面的評論框分享！

關(guān)於 WordPress 主題驗證和轉(zhuǎn)義函數(shù)的常見問題解答

什麼是 WordPress 編碼標準，為什麼它們很重要？

WordPress 編碼標準是由 WordPress 制定的一套特定規(guī)則和指南，以確保 WordPress 代碼的一致性和質(zhì)量。這些標準很重要，因為它們使代碼更易於閱讀、理解和維護。它們還有助於防止常見的編碼錯誤和安全漏洞。對於開發(fā)者而言，遵循這些標準對於確保其主題和插件與 WordPress 及其他主題和插件兼容至關(guān)重要。

如何安全地編輯 WordPress 代碼？

如果操作不當，編輯 WordPress 代碼可能會很危險。建議在更改主題代碼時使用子主題。這樣，您就可以進行更改而不會影響原始主題。此外，在進行任何更改之前，務(wù)必備份您的網(wǎng)站。使用合適的代碼編輯器，而不是 WordPress 編輯器來編輯代碼。最後，在將更改應(yīng)用於您的實時網(wǎng)站之前，請在暫存網(wǎng)站上測試您的更改。

定性分析中代碼和主題的區(qū)別是什麼？

在定性分析中，代碼用於標記、編譯和組織您的數(shù)據(jù)，而主題用於識別數(shù)據(jù)中的模式和關(guān)係。代碼通常是表示特定數(shù)據(jù)片段的單個單詞或短語。另一方面，主題更廣泛，代表從編碼數(shù)據(jù)中出現(xiàn)的更大的概念或想法。

什麼是主題編碼，它如何在 WordPress 中使用？

主題編碼是定性研究中使用的一種方法，用於識別和分析數(shù)據(jù)中的模式或主題。在 WordPress 中，主題編碼可以指開發(fā)具有特定設(shè)計或功能的主題的過程。這涉及以反映主題預(yù)期設(shè)計或功能的方式編寫和組織代碼。

什麼是 WordPress 中的驗證和轉(zhuǎn)義函數(shù)？

驗證和轉(zhuǎn)義函數(shù)是 WordPress 中的安全措施。驗證是檢查用戶輸入的數(shù)據(jù)以確保其在處理之前符合特定條件的過程。轉(zhuǎn)義是通過去除可能導(dǎo)致安全漏洞的有害數(shù)據(jù)來確保輸出安全的過程。這些函數(shù)對於防止 SQL 注入和跨站腳本 (XSS) 等安全問題至關(guān)重要。

為什麼在 WordPress 中驗證和轉(zhuǎn)義數(shù)據(jù)很重要？

驗證和轉(zhuǎn)義數(shù)據(jù)對於確保 WordPress 網(wǎng)站的安全非常重要。如果沒有這些過程，您的網(wǎng)站可能會受到攻擊，攻擊者會將有害數(shù)據(jù)注入您的網(wǎng)站，從而導(dǎo)致潛在的數(shù)據(jù)丟失或未經(jīng)授權(quán)訪問您的網(wǎng)站。

如何在 WordPress 中驗證和轉(zhuǎn)義數(shù)據(jù)？

WordPress 提供了一些用於驗證和轉(zhuǎn)義數(shù)據(jù)的函數(shù)。例如，您可以使用 sanitize_text_field() 函數(shù)驗證文本輸入，並使用 esc_html() 函數(shù)轉(zhuǎn)義 HTML 輸出。在處理用戶輸入或?qū)?shù)據(jù)輸出到瀏覽器時，務(wù)必使用這些函數(shù)。

編寫安全 WordPress 代碼的最佳實踐是什麼？

編寫安全 WordPress 代碼的一些最佳實踐包括遵循 WordPress 編碼標準、驗證和轉(zhuǎn)義所有數(shù)據(jù)、使用 nonce 驗證請求來源、在執(zhí)行操作之前檢查用戶權(quán)限以及使 WordPress、主題和插件保持最新。

如何了解更多關(guān)於 WordPress 編碼標準的信息？

WordPress 開發(fā)者手冊是學(xué)習(xí) WordPress 編碼標準的絕佳資源。它提供了對標準的詳細解釋和示例。還提供許多在線教程和課程，涵蓋 WordPress 編碼標準。

在為 WordPress 編碼時應(yīng)避免的一些常見錯誤是什麼？

在為 WordPress 編碼時應(yīng)避免的一些常見錯誤包括不遵循 WordPress 編碼標準、不驗證或轉(zhuǎn)義數(shù)據(jù)、硬編碼 URL、不使用 nonce 進行表單提交以及不使 WordPress、主題和插件保持最新。

以上是用內(nèi)置的WordPress函數(shù)編碼安全主題的詳細內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！