Una introducción a la seguridad básica para los desarrolladores de temas de WordPress

Si publica temas de WordPress, es importante desarrollarlos teniendo en cuenta la seguridad de sus usuarios. Sin embargo, el equipo de revisión del tema de WordPress ha demostrado recientemente que muchos temas lo evitan en una frecuencia alarmante. Entendemos: simplemente hacer un tema y sus elementos funcionan es mucho más fácil que preocuparse por cualquier aspecto de seguridad. Aun así, los temas pueden ser un gran riesgo de seguridad, por lo que esto es algo de lo que debe preocuparse. De hecho, hay una serie de errores de seguridad que aparecen de vez en cuando, y la buena noticia es que su remediación en su propio código es simple.
En este artículo, primero discutiremos por qué la seguridad es importante en WordPress. Luego presentaremos seis problemas de seguridad frecuentes y cómo puede remediarlos. ¡Vamos a empezar! ¿Por qué la seguridad básica es importante cuando desarrolla temas de WordPress cuando hablamos de seguridad de seguridad débil aquí? Nos referimos a dar fácil acceso a los sitios de los usuarios de WordPress. Es sorprendentemente fácil construir temas con enormes agujeros en el código para que “indeseable” explotenlos. De hecho, según el informe del equipo de revisión del tema de WordPress, al menos la mitad de los temas rechazados tenían problemas de seguridad. También vale la pena señalar que el 29% de los sitios pirateados de WordPress han sido simplemente accesibles debido a los problemas de seguridad.
A medida que mejoran las herramientas de automatización, el equipo de examen puede comenzar a implementar verificaciones automáticas de temas. La forma más simple y más rápida de ingresar a los nuevos temas en el director actualmente es escribir un código seguro desde el principio. Si el sistema se automatiza, saber cómo hacer esto podría significar que su tema será animado rápido. Para obtener más información sobre el envío de temas exitosos, vale la pena leer en detalle el proceso de revisión del tema. También es posible que desee echar un vistazo a los datos de la prueba unitaria del tema. Ambos pueden ayudarlo a resolver cualquier problema en su nariz antes de enviar su tema. Sin embargo, hay una serie de puntos de entrada y debilidades conocidos que se pueden abordar para ayudar casi en los ataques más básicos. Según los datos proporcionados por el equipo de revisión del tema de WordPress, identificamos seis de los errores de seguridad más comunes cometidos por los desarrolladores. Descubrir sobre ellos lo ayudará a convertirse en un mejor desarrollador en general, al tiempo que ayudará a los temas a ser aceptados en el director de WordPress mucho más rápido.
1. Datos Escape de datos Datos de escape es una forma de proteger un sitio de inyección SQL. Para deshacerse de sus datos significa asegurarse de que cualquier texto proporcionado por el usuario se procese como una cadena, en lugar de un comando de base de datos. El proceso de limpieza de los datos ingresados ​​se llama “higiene”, mientras que mostrar las entradas del usuario requiere escape. La inyección SQL es una de las formas más comunes de piratear un sitio y en casi cualquier lugar que un sitio acepte la entrada del usuario (como un formulario de envío posterior, por ejemplo) se puede usar para piratear la base de datos. Afortunadamente, el núcleo de WordPress ofrece muchas formas de limpiar los datos de manera rápida y correcta sin tener que ser un experto. Antes de guardar los datos proporcionados por el usuario, puede usar uno de los métodos suministrados Sanitize_* … $ input_ail = Sanitize_ail ($ _Post [‘correo electrónico’]); … y para mostrar la entrada del usuario, también puede usar las funciones de escape de WordPress:

prefijo. “personalizado”;


De esta manera, su tema cumplirá con los estándares de seguridad de la base de datos. Es una implementación simple que podría tener la mayor consecuencia de la seguridad de su tema. 4. La omisión de los scripts de cola nunca sabe cuándo un script de carga incorrecta ofrece a los piratas informáticos una forma de acceder a los datos que no deberían poder hacer. Sin embargo, en su mayor parte, sus scripts externos probablemente no sean la causa. Aun así, siempre es el más seguro asegurarse de que sus scripts se carguen solo cuando lo necesitan y no en ningún otro momento. Para hacer esto, deberá usar las características de la cola de WordPress en lugar de codificar sus scripts en el encabezado y el sótano. Esto también garantizará una mejor compatibilidad con cualquier complemento que intente concisionar o reducir los scripts externos y significa que sus scripts se reproducirán mucho más bien con los demás. Aquí hay un ejemplo de cómo mostrar los archivos CSS y JavaScript en funciones.
Función themename_scripts () {
wp_enqueue_style (‘name-styl-personalmente’, get_stylesheet ());
wp_enqueue_script (‘custom-script-name’, get_template_directory_uri (). ‘/js/example.js’, array (), ‘1.0.0’, true);
}
add_action (‘wp_enqueue_scripts’, ‘themename_scripts’);Aprender a usar funciones de cola puede ser extraño al principio, pero en realidad es muy rápido y fácil de hacer una vez.En cualquier caso, los beneficios de seguridad que recibirá vale más que el esfuerzo adicional.5. Ignorando los errores y advertencias de PHP Cuando algo está mal en su código, recibirá un error o advertencia; por supuesto, esto le permite remediarlo.Sin embargo, su entorno de desarrollo puede ocultar estos errores.Esto significa que su tema puede tener problemas de seguridad que ni siquiera conoce.
Estos errores y advertencias no siempre pueden indicar que algo es estrictamente incierto, pero esto no significa que el tema pueda cerrar fácilmente todo el sitio de los usuarios después de su activación. Por supuesto, esta no es una situación deseable. Para resolver esto, simplemente asegúrese de que el informe de errores de PHP esté activado para su entorno local, y si se produce un error o una advertencia, ¡no lo ignore! Si es posible, pruebe su tema en las últimas dos o tres versiones PHP para obtener la máxima compatibilidad. Entornos como Vagrant hacen esto relativamente simple de lograr. En general, este es probablemente un paso que muchos de ustedes ya siguen, pero aun así, ¡vale la pena repetirse! 6. Empacar el código y los archivos no utilizados Al construir un tema, a menudo puede agregar código o archivos adicionales para intentar hacer algo para funcionar temporalmente. Hasta que termines, gran parte de ese código podría ser inútil. En resumen, cualquier código sobre su tema que no se utiliza aumenta la oportunidad de hacer que alguien se explote y comprometa la seguridad de su tema. Para evitar esto, puede ejecutar su propia revisión de código en miniatura antes de enviar el tema al director de WordPress. Esto significa viajar el código y asegurarse: cumplir con los estándares de codificación de PHP para WordPress.
Cualquier código que no se use se elimina del tema.
Todo el código es fácil de entender solo escaneándolo.
Si cumple con los códigos o archivos que no se usan en absoluto, ¡elimínelos! Nuevamente, este es otro consejo simple que requiere solo un esfuerzo mínimo. Pero tiene grandes consecuencias sobre la seguridad de su base y, finalmente, su conclusión de usuario La posibilidad de escribir temas seguros lo ayuda a eliminar productos seguros con una tasa de aprobación más alta en el directorio de temas de WordPress. Aunque no tiene que ser un experto en seguridad en sí mismo, es importante comprender las medidas básicas que debe tomar en su base en esta publicación, hemos cubierto seis errores de seguridad comunes en WordPress y cómo remediarlas. Recapitulemos: Escape de datos perdido.

Funciones utilizadas incorrectamente.
El uso incorrecto de los prefijos de datos o su no uso en absoluto.
Omitir los scripts en la cola.
Ignorando los errores y advertencias de PHP.
Incluyendo código y archivos no utilizados.
¿Todavía tiene alguna pregunta sobre cómo escribir temas seguros? ¡Pregúntanos en la sección de comentarios a continuación! Créditos de imagen: Henry Hustava