Анти CSRF в WP

В поддержку по плагину Inactive User Deleter недавно написали, что Wordfence считает мой плагин уязвимым к CSRF.

Я всегда пытаюсь реагировать на запросы юзеров, но сначала мне показалось, что опять какая то параноидальная тулза что то там отрапортовала, а пользователи бьют тревогу.

Во-первых, все формы находятся в админке, т.е. туда просто не зайти без административного доступа, чтобы что то там сделать. Т.е. сначала надо сломать админку, а потом уже что то можно будет сделать.

Во-вторых, это же надо нацелиться на такой узкий сегмент сайтов, которые используют мой плагин, чтобы заниматься какой то хакерской движухой, нацеленной именно через эту брешь.

Но теоретически, действительно, если перехвачены сессионные данные пользователя, а он при этом админ, то гипотетически, если правильно сформировать запрос, то, возможно, получится выполнить действия, которое мой плагин осуществляет при отправке данных через свои формы. А одним из действий как раз является удаление пользователей, при этом массовое удаление.

WP предлагает использование классического приёма защиты, называется NONCE. Что расшифровывается как ‘number used once’.

При каждом выводе формы специальной функцией добавляется некий уникальный ключ, который надо будет проверить, принимая данные.

Повторная отправка пакета данных, с тем же ключом или без него, не будет обработана, стоит только включить проверку ключа:

Если NONCE не прошел проверку — дальнейший вывод страницы прерывается с 403 кодом и сообщением об ошибке, предотвращая тем самым какие либо действия.

Добавил wp_nonce_field во все формы, чтобы юзер был доволен. :)

Мало букафф? Читайте есчо !

Глючный фильтр shortcode_unautop в Wordpress

Июнь 25, 2010 г.

Проявления глюка довольно редки, и у меня всплывали всего пару раз, но я решил выяснить, где же wordpress мне делает "козью морду", и какой из его фильтров делает не то что надо. Проявления "бага" таковы - при вставке некоторого количества миниатюр картинок ...

Читать

WP Plugin Active Contour для WordPress — визуальное редактирование контуров на изображениях

Июнь 17, 2025 г.

Идея сделать этот плагин возникла у меня уже давно, но как это часто бывает, не хватало времени «сесть и реализовать». Но не давно, я остался без контракта, и у меня появилось время на собственные проекты. Одновременно хотелось попробовать давно интересовавшую ...

Читать

Нужные SEO модули для wordpress

Февраль 18, 2010 г.

Сделаем акцент на «нужности». Wordpress в базовой комплектации хорошо подходит для сайтов-визиток (лишние элементы и функционал практически отсутствуют), а при желании доводится (дополнительными модулями и такой-то матерью) до необходимого уровня. Ну ...

Читать

Как проверить роль пользователя в Wordpress?

Июль 7, 2017 г.

Такой функции нет в классе WP_User. Но класс поддерживает свойство roles, которое содержит набор ролей в виде массива. Т.е. нам достаточно убедиться, что нужная роль находится в этом массиве. Чтобы не программировать совсем уж банальные вещи, расширим ...

Читать
 

Комментарии к «Анти CSRF в WP»

Понравилась статья? Есть вопросы? - пишите в комментариях.



Комментарий: