WordPress插件和主题的安全最佳实践是什么？

Question

正如这个问题中所建议的，我将这个主题作为一个新的问题添加到社区讨论/投票中，讨论插件/主题安全的最佳实践。

下面是开始检查清单，基于我当前(在制品中)设置/数据安全检查表，用于审查主题(插件的原则与主题的原则没有什么不同)。

如果您想签出一个具有安全和可靠编码主题设置页面的主题，请查看此主题：

http://wordpress.org/extend/themes/coraline

Answer 1

使用非API(当不使用Settings时)

如果不使用Settings API，插件和主题应该显式地提供设置-页面当前检查：

• WordPress Nonces (Codex)
• WordPress非Mark(标记)
• 使用非提高WordPress插件的安全性(弗拉基米尔·普雷洛瓦茨)
• 在WordPress > 3中使用AJAX的5条提示。使用非Cao并检查权限(Gary )

Answer 2

对可能用于运行恶意代码

的PHP函数要小心

对于编写PHP的人来说，这是一个不错的读物：可利用函数 on StackOverflow。

使用主题修改API

主题应该使用set_theme_mod()和相关功能，而不是自己发明的名称方案。

theme_mod API是设置API的专用层；它保证了惟一的名称，将所有选项推入一个数组中，并且--根据我的经验--更易于处理。此外，它还为插件提供了标准化的过滤器--这对互操作性很好。

避免启用register_globals

不要依赖register_globals = on。我上一位客户买的专业主题就是这样做的。我可以在5分钟内破解任何使用这个主题的网站…

ThimbThumb也这么做了(现在仍然如此)。

不创建具有不必要的宽访问权限的文件

不要创建具有太自由访问权限的文件。

在可用的

中使用SSL

如果可用的话，将您的份额指向Twitter/Facebook/任何指向HTTPS URI的链接。你的读者的安全也很重要。

Answer 3

将数据保存在单个数组

中

插件和主题应该将选项保存在一个数组中，而不是为设置页面创建多个选项。使用Settings API将处理这一问题。