Actualités WEB et WordPress, thèmes, plugins. Ici, nous partageons des conseils et les meilleures solutions de sites Web.

Comment utiliser WordPress Nonce

70

Qu’est-ce que WordPress Nonce ?

Comme mentionné dans le Codex WordPress, un nonce WordPress est un « numéro utilisé une fois » pour aider à protéger les URL et les formulaires contre certains types d’utilisation abusive, malveillante ou autre.

Un nonce n’est rien d’autre qu’un jeton de sécurité qui doit être utilisé pendant le développement pour éviter les attaques CSRF (cross-site request forgery).

Lors du développement d’un thème ou d’un plugin, le nonce doit être utilisé dans un formulaire ou dans une URL. En tant que développeur WordPress, utiliser le nonce est une bonne pratique.

Comment utiliser Nonce dans un formulaire

Comme mentionné, le nonce est un jeton pour empêcher les attaques CSRF. En traitant des formulaires, nous devrions ajouter ce nonce dans nos formulaires. Pour ajouter un nonce dans un formulaire, nous utilisons un champ caché.

<input type="hidden" name="FIELD_NAME" value="<?php echo wp_create_nonce('NONCE_NAME'); ?>"

Dans le code ci-dessus, remplacez FIELD_NAME et NONCE_NAME par tout ce que vous voulez.

Vérifier n’est pas valide ?

Une fois que vous avez ajouté un nonce dans un formulaire, vous devez vérifier si le nonce transmis est valide ou non après la soumission du formulaire. WordPress fournit une fonction wp_verify_nonce pour vérifier la validité du nonce.

if (wp_verify_nonce( $_REQUEST['FIELD_NAME'], 'NONCE_NAME')) {
    //safe to proceed
} else {
    die('Security Check!');
}

Comment utiliser Nonce dans l’URL

Les attaques CSRF peuvent également se produire sur le site Web via des URL. De plus, pour les pages sensibles, le nonce joue un rôle important. Disons que nous avons une page de paramètres sur le site Web qui contient des données sensibles qui doivent être protégées. Nous voulons également l’empêcher des attaques CSRF. Je crée donc une URL nonce pour la mise en page de la manière suivante.

<a href="<?php echo wp_nonce_url(get_bloginfo('url').'/settings', 'page-settings', 'setting-nonce'); ?>"></a>

Vérifier n’est pas valide ?

Maintenant, nous devons vérifier si le nonce est valide ou non. Nous pouvons le faire de la manière suivante. Ici aussi, nous utilisons la fonction wp_verify_nonce() pour vérifier la validité du nonce. J’ajouterai le code ci-dessous en haut de la page des paramètres.

if (isset($_GET['setting-nonce']) && wp_verify_nonce($_GET['setting-nonce'], 'page-settings')) {
    //safe tp proceed
}

J’espère que vous comprenez comment utiliser WordPress Nonce. Si vous avez des questions ou des suggestions, veuillez laisser un commentaire ci-dessous.

Source d’enregistrement: artisansweb.net

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Plus de détails