{"id":115,"date":"2008-02-06T11:45:59","date_gmt":"2008-02-06T10:45:59","guid":{"rendered":"http:\/\/wordpress-buch.bueltge.de\/wordpress-templates-sicherer-machen\/31\/"},"modified":"2008-02-06T11:45:59","modified_gmt":"2008-02-06T10:45:59","slug":"wordpress-templates-sicherer-machen","status":"publish","type":"post","link":"https:\/\/bueltge.de\/wordpress-buch\/wordpress-templates-sicherer-machen\/","title":{"rendered":"WordPress Templates sicherer machen"},"content":{"rendered":"

WP Theme im Backend<\/p>\n

Egal ob die Verwendung eines freien, kommerziellen oder selbst erstellten Themes in deinem Weblog zur Verwendung kommt, man kann mittels PHP viele sch\u00f6ne und n\u00fctzliche Funktionen einbauen. Aber durch diese M\u00e4chtigkeit kann man ebenso einfach und unbewusst Sicherheitsl\u00fccken in das System holen.<\/p>\n

Damit soll keine Angst vor dem Erstellen und \u00c4ndern von Themes und Templates gesch\u00fcrt werden, sondern Bewusstsein und Verantwortung f\u00fcr das Verwenden von Themes und Templates erzogen werden.<\/p>\n

Daher in wenigen Punkten, einige Tipps und Tricks, die es gilt zu beachten bzw. zu pr\u00fcfen.
\n<\/p>\n

    \n
  1. \n

    echo $_SERVER<\/code> pr\u00fcfen<\/h3>\n

    Die direkte Ausgabe von Variablen, welche durch ungepr\u00fcfte Eingabe\/ \u00dcbergabe gef\u00fcllt werden, is t nicht mit den PHP-Sicherheitsregeln in Einklang zu bringen.<\/p>\n

    Eine ganze Reihe von Themes nutzen den folgenden Syntax:<\/p>\n

    \n<?php echo $_SERVER['REQUEST_URI']; ?>\n<\/pre>\n
    Beispielsweise in der searchform.php<\/code><\/p>\n
    \n<form method="get" id="searchform" action="<?php echo $_SERVER['REQUEST_URI']; ?>">\n<\/code><\/pre>\n
    Diese Ausgabe geh\u00f6rt da nicht hin, die \u00dcbergabe geh\u00f6rt gefiltert. Daher ist folgender Syntax zu nutzen.<\/p>\n
    \n<form method="get" id="searchform" action="<?php bloginfo('url'); ?>\/">\n<\/code><\/pre>\n
    Muss unbedingt mir $_SERVER<\/code> gearbeitet werden, dann ist die Filterung der Daten anzuraten.<\/p>\n
    \n<form method="get" id="searchform" action="<?php echo htmlspecialchars($_SERVER['REQUEST_URI']); ?>">\n<\/code><\/pre>\n<\/li>\n
  2. \n
    echo $s<\/code> pr\u00fcfen<\/h3>\n
    \u00c4hnlich verh\u00e4lt es sich mit der Ausgabe des Suchsyntax. Dabei handelt es sich um eine \u00dcbergabe von Nutzerwerten, die schnell zu einer XSS<\/a>-L\u00fccke werden. Daher gilt auch hier das Filtern der Eingabe.<\/p>\n
    Vielfach in der searchform.php<\/code> einiger Themes zu finden.<\/p>\n
    \n<input type="text" value="<?php echo $s; ?>" name="s" id="s" \/>\n<\/code><\/pre>\n
    Die L\u00f6sung k\u00f6nnte, mit Sicherheitsm\u00f6glichkeiten von WordPress genutzt, wie folgt aussehen.<\/p>\n
    \n<input type="text" value="<?php echo attribute_escape($s, 1); ?>" name="s" id="s" \/>\n<\/code><\/pre>\n
    Alternativ kann auch die Verwendung der Funktion the_search_query()<\/code> genutzt werden.<\/p>\n
    \n<?php the_search_query(); ?>\n<\/code><\/pre>\n<\/li>\n
  3. \n
    Konstanten nutzen<\/h3>\n
    Es empfiehlt sich die Nutzung von Konstanten und nicht die \u00dcbergabe einer Variable als Pfadangabe. WordPress stellt daf\u00fcr im Standard eine ganze Reihe von M\u00f6glichkeiten zur Verf\u00fcgung.<\/p>\n