...
✅ Noticias, temas, complementos de WEB y WordPress. Aquí compartimos consejos y las mejores soluciones para sitios web.
Diverso📌 Uncategorized

Cómo usar WordPress Nonce

90
Contenido
¿Qué es WordPress Nonce?
Cómo usar Nonce en un formulario
Comprobar ¿Es válido Nonce?
Cómo usar Nonce en URL
Comprobar ¿Es válido Nonce?

¿Qué es WordPress Nonce?

Como se menciona en el Codex de WordPress, un nonce de WordPress es un "número usado una vez" para ayudar a proteger las URL y los formularios de ciertos tipos de uso indebido, malicioso o de otro tipo.

Un nonce no es más que un token de seguridad que debe usarse durante el desarrollo para evitar ataques CSRF (falsificación de solicitudes entre sitios).

Mientras se desarrolla un tema o complemento, nonce debe usarse en un formulario o en una URL. Como desarrollador de WordPress, usar nonce es una buena práctica.

Cómo usar Nonce en un formulario

Como se mencionó, nonce es un token para prevenir ataques CSRF. Al tratar con formularios, debemos agregar este nonce en nuestros formularios. Para agregar un nonce en un formulario usamos campo oculto.

<input type="hidden" name="FIELD_NAME" value="<?php echo wp_create_nonce('NONCE_NAME'); ?>"

En el código anterior, reemplace FIELD_NAME & NONCE_NAME con lo que desee.

Comprobar ¿Es válido Nonce?

Una vez que agregó nonce en un formulario, debe verificar si pasar nonce es válido o no después del envío del formulario. WordPress proporciona una función wp_verify_nonce para verificar la validez de nonce.

if (wp_verify_nonce( $_REQUEST['FIELD_NAME'], 'NONCE_NAME')) {
    //safe to proceed
} else {
    die('Security Check!');
}

Cómo usar Nonce en URL

Los ataques CSRF también pueden ocurrir en el sitio web a través de URL. Además, para las páginas sensibles, el nonce juega un papel importante. Digamos que tenemos una página de configuración en el sitio web que contiene algunos datos confidenciales que deben protegerse. También queremos prevenirlo de ataques CSRF. Así que creo una URL nonce para configurar la página de la siguiente manera.

<a href="<?php echo wp_nonce_url(get_bloginfo('url').'/settings', 'page-settings', 'setting-nonce'); ?>"></a>

Comprobar ¿Es válido Nonce?

Ahora, necesitamos verificar si pasar nonce es válido o no. Podemos hacer esto de la siguiente manera. Aquí también estamos usando la función wp_verify_nonce() para verificar la validez de nonce. Agregaré el siguiente código en la parte superior de la página de configuración.

if (isset($_GET['setting-nonce']) && wp_verify_nonce($_GET['setting-nonce'], 'page-settings')) {
    //safe tp proceed
}

Espero que entiendas cómo usar WordPress Nonce. Si tiene alguna pregunta o sugerencia, deje un comentario a continuación.

Fuente de grabación: artisansweb.net
También podría gustarte Más del autor

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More