امنیت افزونه

امنیت افزونه

سایر بخش های سری آموزشی " ایجاد افزونه وردپرس "

در این بخش می خوانید

امنیت ورود

امنیت خروجی با فرار خروجی (Escaping Output )

تایید اعتبار

منابع خارجی

با شما تبریک می گوییم ، کدهای افزونه شما بخوبی کار می کنند ، اما دارای امنیت کافی هستند ؟

 

اگر سایت کاربران افزونه شما هک شد ، افزونه شما چه محافظتی از آنها انجام می دهد ؟

 

بهترین افزونه در مخزن وردپرس ، افزونه ای است که اطلاعات کاربران را به صورت امن نگهداری می کند .

به خاطر داشته باشید که افزونه شما ممکن است روی صدها ، هزاران و شاید میلیون ها سایت به اجرا در بیاید ، پس امنیت افزونه شما بی نهایت مهم است .

مبحث امنیت افزونه ، به خصوص زمانی مهم است که افزونه شما یک صفحه تنظیمات برای یک پوسته ایجاد می کند ،  یا کدهای کوتاه (Shortcode) را ایجاد و دستکاری می کند و یا داده های مرتبط با نوشته ها را ذخیره و یا پردازش می کند .

خوشبختانه الگوهایی وجود دارد که با پیروی از آنها می توانید از امنیت کدهای افزونه خود مطمئن شوید .

 

ما این الگوهای امنیتی را به ۳ دسته اصلی تقسیم کرده ایم که در ادامه با آنها آشنا می شوید :

امنیت ورود

هر زمانی که یک کاربر داده ای را به وردپرس ارسال می کند (submit) ، یا داده ها از یک منبع خارجی به صورت مستقیم به وردپرس وارد می شوند ، شما باید مطمئن باشید که امنیت آنها را تامین می کنید .

شما می توانید اینکار را با اعتبار سنجی داده ها برای امن بودن انجام دهید .

 

امنیت خروجی با فرار خروجی (Escaping Output )

هر زمانی که یک عنوان نوشته ، یک مقدار متای نوشته ، یا برخی دیگر از داده ها از بانک اطلاعاتی وردپرس برای نمایش به کاربر پردازش می شوند ، ما باید از امن بودن آنها مطمئن باشیم و این کار را با فرار خروجی (Escaping Output ) انجام می دهیم .

اینکار از حملاتی مانند تزریق کد یا XSS  (Cross-site scripting) جلوگیری می کند .

 

تایید اعتبار

برای جلوگیری از تغییر تنظیمات افزونه خود ، از شخص یا اشخاص غیرمجاز ، مهم است که همیشه آنها را تایید اعتبار کنید

وردپرس ۲ راه را پیشنهاد می دهد :

  • Nonce  ها
  • بررسی قابلیت

در بخش بعدی اطلاعات بیشتری درباره تایید اعتبار را یاد می گیرید .

 

منابع خارجی

How to fix the intentionally vulnerable plugin توسط Jon Cave

Theme and Plugin Security  توسط Mark Jaquith

 

۱۳۹۴/۶/۱۴ ۱۰:۱۳:۰۳

درباره نویسنده:

هدف ما در تیم راهنمای وردپرس ارائه خدمات به علاقه مندان در حوزه وب و بخصوص وردپرس و در نهایت ایجاد کسب و کار و به ثمر رسیدن ایده های شما دوستان خلاق میباشد.

نظر شما چیست