WordPress 中的随机数 – 您需要知道的一切 塔索斯·安东尼奥 6 分钟阅读 在上一篇文章中,我们解释了可以采取的简单步骤来保护您的 WordPress 网站。考虑到同一主题,我们将研究 WordPress 网站的另一个方面:随机数、它们是什么以及它们如何从安全角度影响您的网站。 我们走吧! 目录 什么是随机数? Nonce 如何保护网站 随机数和 WordPress 结论 什么是随机数? 根据定义,随机数是只使用一次并且不会重复使用的东西。 在 WordPress 网站中,随机数用于验证表单的内容并避免恶意活动。更具体地说,随机数可以保护您的网站免受跨站请求伪造 (CSRF) 攻击。它不被认为是有保证的保护,但在大多数情况下就足够了。 它们是由数字和字母组成的哈希值。它们仅使用一次并且具有有限的生命周期,这意味着在经过一定时间后它们将过期。在其生命周期中,随机数将保持不变,并且与特定用户和上下文相关。
Nonce 如何保护网站 例如,当用户提交表单时,CSRF 攻击可能会迫使用户执行不需要的操作。根据所涉及用户的访问级别,损害的范围可能从电子邮件地址被更改到整个网站受到损害。 为了避免这种情况,我们会在相应的提交 URL 中添加一个随机数来进行检查,只有在该值正确且未过期时才允许操作完成。 WordPress 中使用随机数的一个常见示例是删除帖子时 保加利亚手机号码列表 。 如果 WordPress 不使用随机数,垃圾箱链接将生成如下 post=98&action=trash 在这种情况下,攻击者可能会利用此不安全的链接,导致您在不知情的情况下删除自己的帖子。这称为跨站点攻击。 立即尝试我们屡获殊荣的 WordPress 托管! 添加随机数可以防止这种情况发生。在上述场景中,使用随机数将导致“403 Forbidden”响应,并显示“您确定要这样做吗?” 消息,因为黑客的 URL 将缺少此额外的验证。 当您要删除帖子时,WordPress 通常生成的 URL 如下所示由 WordPress 本身生成,以保护您的 URL 和表单不被滥用。因此,除非您正在开发主题或插件,否则您不太可能需要担心随机数,因为一切都由 WordPress 处理。
但是,当作为开发人员构建主题或插件时,您应该使用 WordPress 为此目的提供的功能来自行处理随机数。 要创建随机数,您可以使用 wp_nonce_url () 将随机数添加到 URL,使用wp_nonce_field() 将随机数添加到表单,或者如果您希望以自定义方式使用随机数,则可以使用 wp_create_nonce() ,例如AJAX 请求。 在验证随机数时,您可以使用 check_admin_referer ()来验证在管理屏幕中的 URL 或表单中传递的随机数, check_ajax_referer () 检查随机数,如果失败则默认终止脚本执行和wp_verify_nonce() 来验证在其他上下文中传递的随机数。 创建随机数 作为一个简单的示例,我们将在自定义插件的设置页面中添加提交操作。 假设您正在插件的设置页面中构建一个提交按Nonce 对于帮助防止 CSRF 攻击至关重要,应始终在需要时使用。