安全是一個不斷變化的環境，漏洞隨著時間的推移而演變。 以下是您應該保護的常見漏洞以及保護您的主題免受剝削的技術的討論。 # 漏洞類型 ## SQL注入 這是什么： 當輸入的值沒有被正確地消毒時，SQL注入會發生，從而允許輸入數據中的任何SQL命令潛在地被執行。 為了防止這種情況，WordPress API是廣泛的，提供諸如add_post_meta（）; 而不是您需要通過SQL（INSERT INTO wp_postmeta ...）手動添加后期元數據。 exploits_of_a_mom xkcd一個媽媽的利用 強化您的主題對SQL注入的第一條規則是：當有WordPress功能時，使用它。 但有時您需要執行復雜的查詢，這在API中尚未被考慮。 如果是這種情況，請始終使用$ wpdb函數。 這些專門用于保護您的數據庫。 執行SQL查詢之前，SQL查詢中的所有數據都必須進行SQL轉義，以防止SQL注入攻擊。 用于SQL轉義的最佳功能是$ wpdb-> prepare（），它支持sprintf（）和類似vsprintf（）的語法。 ``` $wpdb->get_var( $wpdb->prepare( "SELECT something FROM table WHERE foo = %s and status = %d", $name, // an unescaped string (function will do the sanitization for you) $status // an untrusted integer (function will do the sanitization for you) ) ); ``` ## 跨站腳本（XSS） 跨站腳本（XSS）發生在一個惡毒的一方向JavaScript頁面注入JavaScript時。 通過轉義輸出來避免XSS漏洞，剝離不需要的數據。 作為主題的主要責任是輸出內容，主題應根據內容的類型，使用正確的功能來轉義動態內容。 其中一個轉義功能的示例是從用戶配置文件中轉義URL。 ``` <img src="<?php echo esc_url( $great_user_picture_url ); ?>" /> ``` 具有HTML實體的內容可以被清理為僅允許指定的HTML元素。 ``` $allowed_html = array( 'a' => array( 'href' => array(), 'title' => array() ), 'br' => array(), 'em' => array(), 'strong' => array(), ); echo wp_kses( $custom_content, $allowed_html ); ``` ## 跨站點請求偽造（CSRF） 跨站點請求偽造或CSRF（發音為sea-surf）是當一個惡意的一方欺騙用戶在他們被認證的Web應用程序中執行不需要的操作時。例如，網絡釣魚電子郵件可能包含一個頁面的鏈接， 刪除WordPress管理員中的用戶帳戶。 如果您的主題包含任何基于HTML或HTTP的表單提交，請使用隨機數來保證用戶有意執行操作。 ``` <form method="post"> <!-- some inputs here ... --> <?php wp_nonce_field( 'name_of_my_action', 'name_of_nonce_field' ); ?> </form> ``` ## 保持現狀 保持潛在的安全漏洞很重要。 以下資源提供了良好的起點： - WordPress Security Whitepaper - WordPress Security Release - Open Web Application Security Project (OWASP) Top 10