<: :> WordPress 보안 : NonCE를 사용하여 테마 및 플러그인 코드를 보호하십시오
WordPress 테마 또는 플러그인 코드의 보안을 보호하는 것이 중요하며 악의적 인 사용자의 공격을 효과적으로 방지 할 수 있습니다. WordPress의 양식 데이터를 청소, 탈출 및 검증하는 방법과 VIP 스캐너를 사용하여 WordPress 테마의 품질을 향상시키는 방법을 설명했습니다. 오늘날 우리는 Nonce (일회성 디지털)가 WordPress 테마와 플러그인을 안전하게 유지하는 방법을 탐색 할 것입니다.
키 포인트
WordPress Nonce 또는 "일회성 사용 번호"는 사용자 요청을 확인하고 악의적 인 시도를 방지하여 WordPress 웹 사이트의 보안을 향상시키는 데 사용되는 고유 한 보안 토큰입니다. 이들은 CSRF (Cross-Site Request Properery) 공격을 방지하는 데 특히 유용합니다.
WordPress에서 Nonce를 만드는 것은 WordPress 함수 를 사용하여 달성되며, 이는 보호 할 작업을 나타내는 단일 문자열 매개 변수를 허용합니다. VERIFICE NONCE는 함수를 사용하여 수행되며, 이는 두 가지 매개 변수를 수용합니다.
nonce는 WordPress의 Ajax 요청에 사용될 수 있으며 CSRF 공격을 방지하기 위해 추가 보안 계층을 추가 할 수 있습니다. Nonce는 또한 사용자 별이며, 한 사용자를 위해 만든 NonCE가 다른 사용자에게 유효하지 않도록하여 추가 보안 계층을 제공합니다.
WordPress Nonce는 무엇입니까? <code>wp_create_nonce()</code>
<ce> WordPress nonce는 다음과 같이 정의됩니다
<code>wp_verify_nonce()</code>
<one url> https://www.php.cn/link/c5af1dfde1040285102771ad64b3dac </one></ce></press>
</li> <li>
</li>
<press> WordPress에서는 Nonce가 기술적으로 숫자가 아니지만 (문자와 숫자의 해시) 악성 사용자가 조치를 실행하는 것을 방지하는 데 도움이됩니다.
<ce ce> WordPress Nonce의 작업은 두 부분으로 나뉩니다
<h2>
nonce (해시 값)를 만들고 양식이나 행동을 통해 제출하십시오.
<ce> nonce를 확인한 다음 양식 데이터를 수락하거나 조치를 실행하십시오. </ce>
</h2>
<p>
예를 들어, WordPress Admin 화면에서 게시물을 삭제하면 URL에 </p> 매개 변수가 포함되어 있음을 알 수 있습니다.
https://www.php.cn/link/18175d262a01ebf04bc03e38e48e3ffc <blockquote> <p>
<to> 게시물을 삭제하는 루틴은 게시물을 삭제하기 전에 Post 542의 <ce noce href="https://www.php.cn/link/c5af1dfde10402285102771ad64b3dac">
이렇게하면 악의적 인 사용자가 잠재적으로 많은 수의 게시물을 삭제하지 못하게됩니다. 예를 들어, Nonce는 Post ID 542에 속하므로 다음은 작동하지 않습니다. https://www.php.cn/link/322da1130169fb4ca1c7543799d0
<psps> https://www.php.cn/link/dd4143061640d55fb312dd0ce8afa76e <p>
<psps> https://www.php.cn/link/9e0f9113b44003201076a9fade1b72d8 <a href="https://www.php.cn/link/322d830da1130169fb4ca1c7543799d0">
</a> <a href="https://www.php.cn/link/dd4143061640d55fb312dd0ce8afa76e">
<see> 이제 플러그인에서 WordPress Nonce를 구현하는 방법을 살펴 보겠습니다. </see></a>
<word> WordPress 플러그인을 설정하십시오
<with> 자체 설정 화면이있는 기본 플러그인으로 시작하겠습니다. 설정 화면에는 WordPress 옵션 테이블에 제출 및 저장할 수있는 필드가 있습니다. <a href="https://www.php.cn/link/9e0f9113b44003201076a9fade1b72d8">
<code> 다음 코드를 </code></a>의 새 파일에 입력하십시오.
</with></word></psps></p>
<plug> WordPress Management & GT를 통해 플러그인을 활성화하면 새로운 <p> nonces <img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/173968189151795.jpg" class="lazy" alt="What Are WordPress Nonces? "> 메뉴 항목이 표시됩니다.
</p> <p>
<and>이 항목을 클릭하면 하나의 필드 만 있으면 설정 화면으로 이동합니다.
</and></p> <h2>
모든 값을 입력하고 "저장"을 클릭하십시오. 모든 것이 작동하면 확인 정보와 방금 입력 한 값이 표시됩니다.
</h2> <p>
<vul> 보안 취약성을 보여줍니다
<ur> 웹 브라우저 주소 표시 줄에 다음 URL을 입력하십시오 (도메인 이름을 설치 한 WordPress로 바꾸십시오) :
https://www.php.cn/link/0e143c3bef0f7759c230664c4dc905f8 </ur></vul></p> <p>
> 관심이 무슨 일이 있었습니까? 값은 단순히 ABC로 저장되며 URL에 직접 액세스하고 WordPress에 로그인합니다.
<code>wp-content/plugins/implementing-wordpress-nonces/implementing-wordpress-nonces.php</code> </p>
<use> 우리는 대신 코드에서 <div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:php;toolbar:false;'>// ... (插件代码,与原文相同) ...로그인 후 복사
로그인 후 복사
를 사용할 수 있지만 (보안 문제를보다 쉽게 보여주기 위해
를 사용) 도움이되지 않습니다. 악의적 인 사용자는 여전히 스스로 사용하거나 클릭하도록 유도 할 수 있습니다. 이 링크를 사용하면이 화면에 게시물 요청을 보내어 옵션 값이 변경됩니다.
이것을 크로스 사이트 요청 위조 (또는 CSRF)라고합니다. 악의적 인 웹 사이트, 이메일, 응용 프로그램 등으로 인해 사용자의 웹 브라우저가 불필요한 작업을 수행하게됩니다.
이제 우리는이 공격이 가능하지 않도록 WordPress Nonce를 생성하고 확인합니다.
<-> nonce <🎜 🎜>로 플러그인을 보호하십시오
앞에서 언급했듯이,이 과정은 두 단계로 나뉩니다. 첫째, 우리는 우리의 양식으로 제출 될 nonce를 만들어야합니다. 둘째, 양식을 제출할 때는 NonCE를 확인해야합니다.
우리 양식에서 nonce 필드를 만들려면 : <🎜 🎜>를 사용할 수 있습니다.
wp_nonce_field()
Nonce Hidden Form 필드를 얻거나 표시하십시오 ... 양식 요청의 내용이 다른 곳이 아닌 현재 사이트에서 오는지 확인하는 데 사용됩니다 ... <🎜
입력 버튼 위에 다음 코드를 추가하십시오
<p>
<🎜 🎜> <<> 4 개의 매개 변수를 수락하십시오. 처음 두 가지가 가장 중요합니다 : </p>
</blockquote>
<p> <<> : 이것은 우리가 실행중인 특정 작업을 결정하고 고유해야합니다. 여러 작업이 실행될 수 있으므로 플러그인 이름을 작업의 접두사로 사용하는 것이 가장 좋습니다. 이 경우, 우리는 무언가를 저장하고 있으므로 </p> <div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:php;toolbar:false;'>// ... (插件代码,与原文相同) ...</pre><div class="contentsignin">로그인 후 복사</div></div>를 사용합니다.
<p> : 이것은이 함수에 의해 생성 된 숨겨진 필드의 이름을 결정합니다. 위에서 언급했듯이 플러그인 이름을 접두사로 사용 했으므로 <code>wp_nonce_field 라는 이름을 지정했습니다.
설정 화면을 다시로드하고 값을 변경하고 저장을 클릭하면 값이 여전히 변경됨을 알 수 있습니다. 이제 : 를 사용하여 제출 된 Nonce 필드의 점검을 구현해야합니다.
-
nonce가 정확하고 지정된 작업에 비해 만료되지 않았는지 확인하십시오. 이 함수는 현재 요청에서 전송 된 NOCE를 확인하는 데 사용되며 일반적으로 php 변수를 통해 액세스 할 수 있습니다.
$action
implementing_wordpress_nonces_save
플러그인의 함수의 "저장 설정"부분을 다음 코드로 바꾸십시오.
이 코드는 다음 작업을 수행합니다
-
먼저, 우리가 무언가를 제출했는지 확인합니다.
$name
그런 다음 비체 필드가 있는지 확인하고 그렇다면 예상되는 조치에 따라 NonCE의 값을 확인하십시오. implementing_wordpress_nonces_nonce
수표가 통과되면 옵션을 업데이트하십시오.
수표가 실패하면 "Invalid Nonce가 지정된"메시지에 403 오류가 발생합니다.
우리의 nonce가 만들어지고 확인되도록하려면 "악성"직접 URL에 다시 액세스하기 위해 다시 시도해 봅시다 : .
https://www.php.cn/link/0e143c3bef0f7759c230664c4dc905f8 wp_verify_nonce( $name, $action ).
>
우리의 nonce가 구현되고 확인되면 "잘못된 Nonce 사양"알림이 표시됩니다.
... (나머지는 원래 텍스트와 동일하지만 원래 의도를 변경하지 않도록 언어와 표현이 자세히 조정됩니다) ....
위 내용은 WordPress Nonces 란 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
