Como se menciona en el Codex de WordPress, un nonce de WordPress es un "n\u00famero usado una vez" para ayudar a proteger las URL y los formularios de ciertos tipos de uso indebido, malicioso o de otro tipo.<\/p>\n
Un nonce no es m\u00e1s que un token de seguridad que debe usarse durante el desarrollo para evitar ataques CSRF (falsificaci\u00f3n de solicitudes entre sitios).<\/p>\n
Mientras se desarrolla un tema o complemento, nonce debe usarse en un formulario o en una URL. Como desarrollador de WordPress, usar nonce es una buena pr\u00e1ctica.<\/p>\n
Como se mencion\u00f3, nonce es un token para prevenir ataques CSRF. Al tratar con formularios, debemos agregar este nonce en nuestros formularios. Para agregar un nonce en un formulario usamos campo oculto.<\/p>\n
<input type=\"hidden\" name=\"FIELD_NAME\" value=\"<?php echo wp_create_nonce('NONCE_NAME'); ?>\"<\/code><\/pre>\nEn el c\u00f3digo anterior, reemplace FIELD_NAME & NONCE_NAME con lo que desee.<\/p>\n
Comprobar \u00bfEs v\u00e1lido Nonce?<\/h3>\n
Una vez que agreg\u00f3 nonce en un formulario, debe verificar si pasar nonce es v\u00e1lido o no despu\u00e9s del env\u00edo del formulario. WordPress proporciona una funci\u00f3n wp_verify_nonce para verificar la validez de nonce.<\/p>\n
if (wp_verify_nonce( $_REQUEST['FIELD_NAME'], 'NONCE_NAME')) {\n\u00a0\u00a0\u00a0\u00a0\/\/safe to proceed\n} else {\n\u00a0\u00a0\u00a0\u00a0die('Security Check!');\n}<\/code><\/pre>\nC\u00f3mo usar Nonce en URL<\/h2>\n
Los ataques CSRF tambi\u00e9n pueden ocurrir en el sitio web a trav\u00e9s de URL. Adem\u00e1s, para las p\u00e1ginas sensibles, el nonce juega un papel importante. Digamos que tenemos una p\u00e1gina de configuraci\u00f3n en el sitio web que contiene algunos datos confidenciales que deben protegerse. Tambi\u00e9n queremos prevenirlo de ataques CSRF. As\u00ed que creo una URL nonce para configurar la p\u00e1gina de la siguiente manera.<\/p>\n
<a href=\"<?php echo wp_nonce_url(get_bloginfo('url').'\/settings', 'page-settings', 'setting-nonce'); ?>\"><\/a><\/code><\/pre>\nComprobar \u00bfEs v\u00e1lido Nonce?<\/h3>\n
Ahora, necesitamos verificar si pasar nonce es v\u00e1lido o no. Podemos hacer esto de la siguiente manera. Aqu\u00ed tambi\u00e9n estamos usando la funci\u00f3n wp_verify_nonce() para verificar la validez de nonce. Agregar\u00e9 el siguiente c\u00f3digo en la parte superior de la p\u00e1gina de configuraci\u00f3n.<\/p>\n
if (isset($_GET['setting-nonce']) && wp_verify_nonce($_GET['setting-nonce'], 'page-settings')) {\n\u00a0\u00a0\u00a0\u00a0\/\/safe tp proceed\n}<\/code><\/pre>\nEspero que entiendas c\u00f3mo usar WordPress Nonce. Si tiene alguna pregunta o sugerencia, deje un comentario a continuaci\u00f3n.<\/p>\n