Sidebar
ein-/ausblenden

WordPress Plugin Sicherheitsmöglichkeiten

Plugin für WordPress SEO

Anzeige

In der Nachbearbeitung meines Eindrucks und Aufenthaltes des WordCamp08 habe ich es schon anklingen lassen - es gibt ein paar Hinweise für das Erstellen sicherer Plugins für WordPress, wobei ich in kurzer und knapper Form vorgehe.
Ich denke, dass jeder, der sich mit der Entwicklung eigener Plugins beschäftigt, die kurze und einfache Form geniest, ohne viel Drumherum. Außerdem fehlt mir aktuell die Zeit für lange und tiefe Texte, ich hoffe, dass man das versteht.

In der Präsentation sind eine ganze Reihe von Möglichkeiten hinterlegt, vor allem zum Thema Verantwortung und Bewusstsein im Bezug auf den PHP- und WordPress-Coding-Standard, die man immer beherzigen sollte.

Die einzelnen Punkte der Präsentation spreche ich hier nicht mehr an, gebe aber nochmal Infos zu Möglichkeiten und Referenzen.

PHP Möglichkeiten

PHP bietet eine ganze Reihe von Funktionen, die das Validieren und Filtern von Daten erlaubt. Einige Beispiele die im täglichen Umfeld sehr nützlich sind.

  • htmlspecialchars()
  • strip_tags()
  • urlencode()
  • intval()
  • addslashes()
  • mysql_escape_string()

Als Lektüre dient der PHP.net Security Guide und PHP Security Guide (PDF, 311kByte) mit 12 wichtigen Punkten.

WordPress Möglichkeiten, Konstanten

Aber auch WordPress bringt einige Möglichkeiten mit, dabei sind zwei Funktionen besonders nützlich und hilfreich: attribute_escape() und wp_nonce().

Unerwähnt sollen aber nicht die Konstanten bleiben, die es bereits in den Core-Files von WP gibt und die gerade zur Anwendung prädestiniert sind.

  • TEMPLATEPATH
  • STYLESHEETPATH
  • ABSPATH
  • WPINC
  • PLUGINDIR
  • COOKIEPATH, COOKIEHASH, USER_COOKIE, PASS_COOKIE, AUTH_COOKIE und weitere Cookie-Konstanten

Einer Konstante kommt dabei eine Sonderrolle zu: WP_DEBUG.
Diese Konstante muss in der wp-config.php auf TRUE gesetzt werden und schon ist WordPress im Debug-Modus (error_reporting(E_ALL)) und gibt alle Informationen nach außen.

define('WP_DEBUG', true);

attribute_escape

Die erste der beiden Funktionen dient dem Filtern von Daten und sollte vorrangig Verwendung bei der Ausgabe von Daten (echo's) finden, vor allem wenn sie per _POST oder _GET übertragen werden.

wp_nonce

Die zweite Funktion bringt eine ganze Reihe weiterer Funktionen mit, die das Übergeben einer Signatur beim Absenden von Formularen ermöglicht. Nähers im folgenden Syntax.


/*
Plugin Name: Security Example
Plugin URI: http://bueltge.de/
Description: fbSecurity Example
Author: Frank Bueltge
Version: 0.1
Author URI: http://bueltge.de/
*/

/**
  * Function definieren
  * fbexample_ ersetzen
  *
  */
if ( !function_exists('wp_nonce_field') ) {
	function fbexample_nonce_field($action = -1) {
		return;
	}
	$fbexample_nonce = -1;
} else {
	function fbexample_nonce_field($action = -1) {
		return wp_nonce_field($action);
	}
	$fbexample_nonce = 'fbexample_update_key';
}

/**
  * POST Uebergabe, Admin-Page
  * fbexample_ ersetzen
  *
  */
function fbexample_page() {
	global $fbexample_nonce, $fbexample_key;

	if ($_POST['action'] == 'submit') {

		if ( function_exists('current_user_can') && current_user_can('edit_plugins') ) {
			check_admin_referer($fbexample_nonce);

			$fbexample1 = $_POST['fbexample1'];
			. . .

		} else {
			wp_die('

'.__('You do not have sufficient permissions to edit plugins for this blog.').'

');
		}
	}
?>



<?php _e('FB Example', 'fbexample') ?>



		<?php fbexample_nonce_field($fbexample_nonce) ?>

		. . .


	




<?php
}

/**
  * Installation von options-Feldern
  * fbexample* ersetzen
  *
  */
function fbexample_install(){
	global $wpdb;

	add_option('fbexample1', 'fbexample1_wert');
}

/**
  * Admin-Page hinzufuegen
  * fbexample* ersetzen
  *
  */
function fbexample_menu() {
	add_submenu_page('plugins.php', 'FB Example', 'FB Example Title', 10, __FILE__, 'fbexample_page');
	add_options_page('FB Example', 'FB Example Title', 8, basename(__FILE__), 'fbexample_page');
}

/**
  * Hooks nutzen und Admin-Page aktivieren
  * fbexample* ersetzen
  *
  */
if (function_exists('add_action')) {
	if (isset($_GET['activate']) && $_GET['activate'] == 'true') {
		add_action('init', 'fbexample_install');
	}
	add_action('admin_menu', 'fbexample_menu');
}
?>

WordPress Plugin Framework

Als letzten Punkt noch der Hinweis zu einer Idee, die ich für sehr gelungen halte - in Punkte Entwicklung und Umsetzung, das WordPress Plugin Framework.

Dieses Framework bringt die gängigen Möglichkeiten mit, die im Bereich Plugin erforderlich sind und hat die typischen Sicherheitspunkte, wie oben angesprochen, im Syntax. Das Framework steht als Klasse bereit und kann einfach eingesetzt werden.
Eine Dokumentation steht bereit und die deutsche Übersetzung ist in Vorbereitung.

Referenzen und weitere Links

Artikel #539, 31. Januar 2008 · Code, PHP, Tipps, WordPress · 3 Kommentare · Kommentar schreiben
Tags: , , , , , ,
read: 9471 · today: 4 · last: 18. März 2010
Kommentar-Feed zum Artikel · TrackBack URL

«
»

0 Kommentare und 3 Trackbacks zu „WordPress Plugin Sicherheitsmöglichkeiten“

  1. 1
    Pingback von Sicherheit von Wordpress Plugins
    31. Januar 2008 um 14:58
  2. 2
    Pingback von PHP Blogger: PHP: Sicherheit groß schreiben - Ein PHP Blog auf deutsch
    31. Januar 2008 um 16:17
  3. 3
    Pingback von WordPress Templates sicherer machen | WordPress-Buch
    6. Februar 2008 um 11:46

Überlastung, Kommentare sind vorübergehend geschlossen

Ich bin urlaubsreif, ersticke in Arbeit und damit auch für die Leser des Weblogs nicht zu erreichen. Bitte geduldet euch ein wenig mit Supportanfragen.
Leider muss ich die Kommentarfunktion deaktivieren, ansonsten würde ich weiter in Arbeit ersticken oder die Anfragen nicht nach bestem Gewissen beantworten.

Vielen Dank für das Verständnis!