Назвіть загальні вади безпеки, які мені потрібно шукати? [зачинено]

Наразі це запитання не підходить для нашого формату запитань. Ми очікуємо, що відповіді будуть підкріплені фактами, посиланнями або експертними знаннями, але це питання, ймовірно, вимагатиме дискусій, аргументів, опитувань чи розширеної дискусії. Якщо ви вважаєте, що це питання можна вдосконалити та, можливо, знову відкрити, відвідайте довідковий центр для ознайомлення .

Закрито 7 років тому .

Як розробник плагінів Wannabe WP, які основні недоліки / отвори в безпеці я повинен шукати?

Я збираюся створити новий плагін з панеллю конфігурації (тобто поля введення та інше). Що мене турбує?

Наприклад, чи є така санітарія даних великою справою, оскільки вона знаходиться у / wp-admin / області? Чи може хтось зловмисник безпосередньо потрапити на мою сторінку плагіна та надіслати POST-запити чи щось подібне?

Дякую!

— MrBatman
джерело

Відповіді:

Ось модифікований контрольний список, заснований на моїх поточних налаштуваннях / контрольному списку безпеки даних, що використовуються для перегляду тем (принципи не повинні відрізнятися для плагінів, ніж для тем):

Плагіни повинні префіксувати всі параметри, користувацькі функції, спеціальні змінні та власні константи з плагіном-слигом.
Плагіни повинні реалізовувати сторінки "Параметри плагіна" та "Налаштування плагінів" навмисно, а не покладатися на копіювати та вставляти скрипти з підручників веб-сайтів, таких як наведені нижче, які застаріли і не включають належного захисту даних:
- http://www.1stwebdesigner.com/wordpress/how-to-create-an-options-page-for-your-wordpress-theme/
- http://wpshout.com/create-an-awesome-wordpress-theme-options-page-part-1
Плагіни повинні використовувати add_options_page()функцію, щоб додати сторінку Settingsменю плагінів до меню, а не використовувати add_menu_page()меню верхнього рівня.
Плагіни повинні використовувати відповідні можливості (наприклад manage_options) для можливості додавання сторінки налаштувань.
Плагіни повинні зберігати параметри в одному масиві, а не створювати кілька параметрів для сторінки налаштувань. Використання API налаштувань (див. Нижче) впорається з цим.
Плагіни повинні використовувати API налаштувань (див. Нижче) для отримання та збереження вхідних даних форми, а не покладатися на дані $_POSTта $_REQUESTбезпосередньо.
Для прапорців і вибору опцій, плагіни повинні використовувати checked()і selected()функцію для виведення checked="checked"і selected="selected", відповідно.
Плагіни повинні перевірити та зафіксувати всі недовірені дані перед тим, як вводити дані в базу даних, і повинні уникати всіх недовірених даних перед виведенням у поля Налаштування форми та перед виведенням у файли шаблону теми:
- http://codex.wordpress.org/Data_Validation
Плагіни повинні використовуватись esc_attr()для введення тексту та esc_html()(або esc_textarea()в WP 3.1) для текстових областей.
Плагіни повинні чітко надавати перевірку на сторінці налаштувань, якщо не використовується API налаштувань:
- http://codex.wordpress.org/WordPress_Nonces
Також настійно рекомендується плагінам використовувати API налаштувань, який простіший у використанні, більш захищений та піклується про багато напруженої роботи сторінок налаштувань:
- http://codex.wordpress.org/Settings_API

Хороший підручник із використання API налаштування див. У розділі:

Якщо ви хочете перевірити тему на захищеній та суцільно закодованій сторінці налаштувань теми, перегляньте цю тему:
http://wordpress.org/extend/themes/coraline

— Чіп Беннетт
джерело

І я повинен додати: якщо хтось бачить щось, що не вистачає зі списку, будь ласка, прокоментуйте його , щоб я міг додати його до контрольного списку, щоб допомогти покращити огляд безпеки для Тем!

— Чіп Беннетт

Ого, чудовий список, дякую. Цікаво, чи варто зробити це питання спільним вікі та зробити кожен із цих пунктів власною відповіддю, щоб краще дозволити обговорення та опрацювання?

— goldenapples

Я б з цим добре, але не хочу викрадати питання оригінального плаката (якщо тільки так не робиться на StackExchange? Я все ще новий тут ...).

— Чіп Беннетт

Я теж не хочу ... залишаю це на розсуд модераторів. Це здається, що це поставить велике питання щодо вікі, оскільки його настільки важливі та найкращі практики все ще розробляються. @Rarst?

— goldenapples

Я можу створити нове запитання, якщо це буде потрібно?

— Чіп Беннетт

Для цього є два аспекти:

Основні принципи.
- Що б не було записано в базу даних, слід перевірити наявність ін'єкцій SQL.
- Що б не було надруковано на екрані, слід перевірити, чи не друкується шкідливий JavaScript.
- Кожен раз, коли хтось щось робить, слід перевірити, чи був це його намір, і чи має він належні можливості.
- Є ще багато речей, на які ви чи я ніколи не подумаєте перевірити.
Особливості.
- Сучасний WordPress сприймає безпеку серйозно і прагне полегшити розробників.
- Отже, для більшості речей, які ви хочете зробити, є, швидше за все, спосіб зробити це за допомогою WP API.
- Отже, все, що ви робите вашим першим кроком, було б вдосконалити та вивчити відповідний API.
- Чим далі ви від загальної та простої функціональності, тим складніші речі вам знадобляться для вивчення та впровадження.

— Найрідкісніший
джерело

Додайте defined('ABSPATH') or die('Access denied');в кожен сценарій плагіна, який використовується Wordpress безпосередньо
Додайте порожній файл index.php у кожен каталог
Додайте .htaccess у каталог плагінів із необхідними інструкціями для запобігання прямого доступу до певних файлів плагіна.

— Єгор
джерело