WordPress Plugin Sicherheitsmöglichkeiten

Die Zeiten ändern sich.

Dieser Beitrag scheint älter als 9 Jahre zu sein – eine lange Zeit im Internet. Der Inhalt ist vielleicht veraltet.

In der Nachbearbeitung meines Eindrucks und Aufenthaltes des WordCamp08 habe ich es schon anklingen lassen - es gibt ein paar Hinweise für das Erstellen sicherer Plugins für WordPress, wobei ich in kurzer und knapper Form vorgehe.
Ich denke, dass jeder, der sich mit der Entwicklung eigener Plugins beschäftigt, die kurze und einfache Form geniest, ohne viel Drumherum. Außerdem fehlt mir aktuell die Zeit für lange und tiefe Texte, ich hoffe, dass man das versteht.

In der Präsentation sind eine ganze Reihe von Möglichkeiten hinterlegt, vor allem zum Thema Verantwortung und Bewusstsein im Bezug auf den PHP- und WordPress-Coding-Standard, die man immer beherzigen sollte.

Die einzelnen Punkte der Präsentation spreche ich hier nicht mehr an, gebe aber nochmal Infos zu Möglichkeiten und Referenzen.

PHP Möglichkeiten

PHP bietet eine ganze Reihe von Funktionen, die das Validieren und Filtern von Daten erlaubt. Einige Beispiele die im täglichen Umfeld sehr nützlich sind.

  • htmlspecialchars()
  • strip_tags()
  • urlencode()
  • intval()
  • addslashes()
  • mysql_escape_string()

Als Lektüre dient der PHP.net Security Guide und PHP Security Guide (PDF, 311kByte) mit 12 wichtigen Punkten.

WordPress Möglichkeiten, Konstanten

Aber auch WordPress bringt einige Möglichkeiten mit, dabei sind zwei Funktionen besonders nützlich und hilfreich: attribute_escape() und wp_nonce().

Unerwähnt sollen aber nicht die Konstanten bleiben, die es bereits in den Core-Files von WP gibt und die gerade zur Anwendung prädestiniert sind.

  • TEMPLATEPATH
  • STYLESHEETPATH
  • ABSPATH
  • WPINC
  • PLUGINDIR
  • COOKIEPATH, COOKIEHASH, USER_COOKIE, PASS_COOKIE, AUTH_COOKIE und weitere Cookie-Konstanten

Einer Konstante kommt dabei eine Sonderrolle zu: WP_DEBUG.
Diese Konstante muss in der wp-config.php auf TRUE gesetzt werden und schon ist WordPress im Debug-Modus (error_reporting(E_ALL)) und gibt alle Informationen nach außen.

define('WP_DEBUG', true);

attribute_escape

Die erste der beiden Funktionen dient dem Filtern von Daten und sollte vorrangig Verwendung bei der Ausgabe von Daten (echo's) finden, vor allem wenn sie per _POST oder _GET übertragen werden.

wp_nonce

Die zweite Funktion bringt eine ganze Reihe weiterer Funktionen mit, die das Übergeben einer Signatur beim Absenden von Formularen ermöglicht. Nähers im folgenden Syntax.


/*
Plugin Name: Security Example
Plugin URI: https://bueltge.de/
Description: fbSecurity Example
Author: Frank Bueltge
Version: 0.1
Author URI: https://bueltge.de/
*/


/**
  * Function definieren
  * fbexample_ ersetzen
  *
  */
if ( !function_exists('wp_nonce_field') ) {
	function fbexample_nonce_field($action = -1) {
		return;
	}
	$fbexample_nonce = -1;
} else {
	function fbexample_nonce_field($action = -1) {
		return wp_nonce_field($action);
	}
	$fbexample_nonce = 'fbexample_update_key';
}


/**
  * POST Uebergabe, Admin-Page
  * fbexample_ ersetzen
  *
  */
function fbexample_page() {
	global $fbexample_nonce, $fbexample_key;

	if ($_POST['action'] == 'submit') {
	
		if ( function_exists('current_user_can') && current_user_can('edit_plugins') ) {
			check_admin_referer($fbexample_nonce);

			$fbexample1 = $_POST['fbexample1'];
			. . .

		} else {
			wp_die('

'.__('You do not have sufficient permissions to edit plugins for this blog.').'

'); } } ?>

<?php _e('FB Example', 'fbexample') ?>

<?php fbexample_nonce_field($fbexample_nonce) ?> . . .
<?php } /** * Installation von options-Feldern * fbexample* ersetzen * */ function fbexample_install(){ global $wpdb; add_option('fbexample1', 'fbexample1_wert'); } /** * Admin-Page hinzufuegen * fbexample* ersetzen * */ function fbexample_menu() { add_submenu_page('plugins.php', 'FB Example', 'FB Example Title', 10, __FILE__, 'fbexample_page'); add_options_page('FB Example', 'FB Example Title', 8, basename(__FILE__), 'fbexample_page'); } /** * Hooks nutzen und Admin-Page aktivieren * fbexample* ersetzen * */ if (function_exists('add_action')) { if (isset($_GET['activate']) && $_GET['activate'] == 'true') { add_action('init', 'fbexample_install'); } add_action('admin_menu', 'fbexample_menu'); } ?>

WordPress Plugin Framework

Als letzten Punkt noch der Hinweis zu einer Idee, die ich für sehr gelungen halte - in Punkte Entwicklung und Umsetzung, das WordPress Plugin Framework.

Dieses Framework bringt die gängigen Möglichkeiten mit, die im Bereich Plugin erforderlich sind und hat die typischen Sicherheitspunkte, wie oben angesprochen, im Syntax. Das Framework steht als Klasse bereit und kann einfach eingesetzt werden.
Eine Dokumentation steht bereit und die deutsche Übersetzung ist in Vorbereitung.

Referenzen und weitere Links