এই প্রশ্নে প্রস্তাবিত হিসাবে , আমি এই বিষয়টিকে নতুন প্রশ্ন হিসাবে যুক্ত করছি, প্লাগিন / থিম সুরক্ষার জন্য সর্বোত্তম অনুশীলনগুলি সম্পর্কে সম্প্রদায় আলোচনা / ভোটদানের জন্য।

থিমগুলি পর্যালোচনা করার জন্য ব্যবহৃত আমার বর্তমান (ওয়ার্ক-ইন-প্রগ্রেস) সেটিংস / ডেটা সুরক্ষা চেকলিস্টের উপর ভিত্তি করে এখানে সূচনা চেকলিস্টটি রয়েছে (থিমগুলির তুলনায় নীতিগুলি প্লাগিনগুলির জন্য আলাদা হওয়া উচিত নয়)।

আপনি যদি কোনও সুরক্ষিত এবং দৃ -়ভাবে কোডেড থিম সেটিংস পৃষ্ঠা সহ কোনও থিমটি দেখতে চান তবে এই থিমটি দেখুন:
http://wordpress.org/extend/themes/coraline

ননসেস ব্যবহার করুন (সেটিংস এপিআই ব্যবহার না করার সময়)

প্লাগইন এবং থিমগুলি সেটিং এপিআই ব্যবহার না করে স্পষ্ট করে সেটিংস-পৃষ্ঠা ননস চেকিং সরবরাহ করতে হবে:

• ওয়ার্ডপ্রেস নোনেস (কোডেক্স)
• ওয়ার্ডপ্রেস নোনেস (মার্ক জ্যাকিথ)
• নোনেস (ভ্লাদিমির প্রিলভ্যাক) ব্যবহার করে ওয়ার্ডপ্রেস প্লাগইনগুলিতে সুরক্ষা উন্নত করা হচ্ছে
• ওয়ার্ডপ্রেস> এজেএক্স ব্যবহারের জন্য 5 টিপস> ৩. ননস ব্যবহার করুন এবং অনুমতিটির জন্য চেক করুন (গ্যারি Cao)

স্যানিটাইজ, বৈধকরণ এবং ডেটা পালাতে escape

(!) ডাটাবেসটি সামনে এবং পিছনের উভয় প্রান্তে প্রবেশ করতে এবং বাইরে আসতে পারে এমন কোনও কিছু সানিটাইজ করুন!

প্লাগইন এবং থিমগুলির যথাযথ ডেটা বৈধকরণ সম্পাদন করা উচিত:

1. ডাটাবেসে ডেটা প্রবেশের আগে সমস্ত অবিশ্বস্ত ডেটা বৈধকরণ এবং স্যানিটাইজ করুন
2. Escape সব অনির্ভরযোগ্য তথ্য সেটিং ফর্ম ক্ষেত্রগুলি আউটপুট হওয়ার আগে

3. Escape সব অনির্ভরযোগ্য তথ্য থিম টেমপ্লেট ফাইল মধ্যে আউটপুট হওয়ার আগে

   • ডেটা বৈধকরণ (কোডেক্স)

প্লাগইন এবং থিমগুলি esc_attr()পাঠ্য ইনপুটগুলির জন্য esc_html()বা esc_textarea()পাঠ্য অঞ্চলের জন্য ব্যবহার করা উচিত ।

এছাড়াও থেকে পাওয়া ওয়ার্ডপ্রেস এপিআই esc_url(), esc_url_raw(), esc_js()এবং wp_filter_kses()।

খারাপ উদাহরণ:

<?php $url = 'javascript:pwnd()'; ?>
<a href="<?php echo $url; ?>">anchor</a>

ভালো উদাহরণ:

<a href="<?php echo esc_url($url); ?>">anchor</a>

এখানে মার্ক জ্যাকিথের একটি দুর্দান্ত ভিডিও রয়েছে যাতে পলায়নের কাজগুলির ব্যবহার ব্যাখ্যা করা হয়:

• থিম এবং প্লাগইন সুরক্ষা

কেবলমাত্র $ _GET / $ _POST / _RE _REQUEST সাবধানতার সাথে ব্যবহার করুন এবং যখন আরও ভাল API গুলি অনুপলব্ধ থাকে

প্লাগইন এবং থিমগুলিকে সরাসরি ইনফরমেশন $_POSTএবং $_REQUESTডেটা নির্ভর করার পরিবর্তে ফর্ম ইনপুট ডেটা পেতে এবং সংরক্ষণ করতে সেটিংস এপিআই ব্যবহার করা উচিত ।

ব্যবহার $wpdb->prepare

সামগ্রীর মাধ্যমে কাস্টম অনুসন্ধানগুলি তৈরি করার সময় $wpdb, সবসময় $wpdb->prepareএসকিউএল কোডের সাথে ডেটা মিশ্রিত ডেটা দিয়ে কোয়েরিগুলি লেখার পরিবর্তে মান সহ স্থানধারককে পূরণ করার জন্য ব্যবহার করুন , কারণ mysql_*পারিবারিক ফাংশনগুলি ভুলভাবে সবাইকে শিখিয়েছে।

দূষিত কোড চালাতে ব্যবহৃত হতে পারে এমন পিএইচপি ফাংশনগুলির সাথে সতর্ক থাকুন

যে কেউ পিএইচপি লেখার জন্য একটি দুর্দান্ত পঠন: স্ট্যাকওভারফ্লোতে এক্সপ্লোরেশনযোগ্য পিএইচপি ফাংশন ।

থিম সংশোধন API ব্যবহার করুন

থিমগুলি স্ব-উদ্ভাবিত নাম স্কিম নয় বরংset_theme_mod() সম্পর্কিত ফাংশন ব্যবহার করা উচিত । থিম_মোডি এপিআই সেটিংস এপিআইয়ের জন্য একটি বিশেষ স্তর; এটি অনন্য নামের গ্যারান্টি দেয়, সমস্ত বিকল্পকে এক অ্যারেতে ঠেলে দেয় এবং এটি আমার অভিজ্ঞতা থেকে - পরিচালনা করা অনেক সহজ। এছাড়াও, এটি প্লাগইনগুলির জন্য মানক ফিল্টার সরবরাহ করে - যা আন্তঃব্যবহারের জন্য ভাল।

সক্ষম করা এড়িয়ে চলুন register_globals

ভরসা করবেন না register_globals = on। আমার শেষ ক্লায়েন্টটি কিনেছে এমন একটি প্রো থিম ঠিক এটি করে। আমি 5 মিনিটের মধ্যে এই থিমটি ব্যবহার করে যে কোনও সাইট হ্যাক করতে পারি ...
থিমবথম্ব এটিও করেছে (এবং এখনও আছে?)।

অপ্রয়োজনীয় প্রশস্ত অ্যাক্সেস অনুমতি নিয়ে ফাইল তৈরি করবেন না

খুব বেশি অ্যাক্সেস অনুমতি দিয়ে ফাইল তৈরি করবেন না।

যেখানে উপলব্ধ এসএসএল ব্যবহার করুন

আপনার শেয়ারটি টুইটার / ফেসবুক / HTTPS ইউআরআই- তে কিছু লিঙ্ক পাওয়া যায় যদি পাওয়া যায়। আপনার পাঠকের সুরক্ষাও গুরুত্বপূর্ণ।

একক অ্যারে ডেটা সংরক্ষণ করুন

প্লাগইন এবং থিমগুলির সেটিংস পৃষ্ঠার জন্য একাধিক বিকল্প তৈরি করার পরিবর্তে একক অ্যারেতে বিকল্পগুলি সংরক্ষণ করা উচিত। সেটিংস এপিআই এর ব্যবহার এটি পরিচালনা করবে।

সেটিংস পৃষ্ঠাগুলি যুক্ত এবং আউটপুট করার সময় উপযুক্ত দক্ষতার জন্য পরীক্ষা করুন

প্লাগইনগুলিতে সেটিংস পৃষ্ঠা যুক্ত করার সক্ষমতাটির জন্য একটি উপযুক্ত দক্ষতা (উদাহরণস্বরূপ manage_options) ব্যবহার করা উচিত ।

থিমগুলির সেটিংস পৃষ্ঠা যুক্ত করার জন্য edit_theme_optionsউপযুক্ত সক্ষমতা হিসাবে ব্যবহার করা উচিত ।

• ভূমিকা এবং ক্ষমতা (কোডেক্স)

আপ টু ডেট টিউটোরিয়াল এবং তথ্য ব্যবহার করুন

প্লাগইনস এবং থিমগুলি উভয়ই বিকল্প এবং সেটিংস পৃষ্ঠাগুলি ইচ্ছাকৃতভাবে প্রয়োগ করা উচিত এবং কপিরাইট-পেস্ট ওয়েবসাইট টিউটোরিয়ালের উপর নির্ভর না করে যা পুরাতন এবং যথাযথ ডেটা সুরক্ষা অন্তর্ভুক্ত করে না যেমন নীচে তালিকাভুক্ত।

কী করবেন না তার উদাহরণ :

• আপনার ওয়ার্ডপ্রেস থিমের জন্য কীভাবে একটি বিকল্প পৃষ্ঠা তৈরি করবেন (1stwebdesigner.com)

• একটি দুর্দান্ত ওয়ার্ডপ্রেস থিম বিকল্প পৃষ্ঠা পৃষ্ঠা 1 তৈরি করুন (wpshout.com)

সেটিংস API ব্যবহার করুন

প্লাগইন এবং থিমগুলির সেটিংস এপিআই ব্যবহার করা উচিত, যা ব্যবহার করা সহজ, আরও সুরক্ষিত এবং সেটিংস পৃষ্ঠাগুলির প্রচুর পরিশ্রমের যত্ন নেয়:

• সেটিংস এপিআই (কোডেক্স)

সেটিংস এপিআই ব্যবহার করার জন্য একটি ভাল টিউটোরিয়ালের জন্য, দেখুন:

• ওয়ার্ডপ্রেস থিমগুলিতে সেটিংস এপিআই অন্তর্ভুক্ত করা (চিপ বেনেট)
• ওয়ার্ডপ্রেসে প্লাগইন অপশন হ্যান্ডলিং করে রেজিস্টার_সেটিং () (ওজ রিচার্ড)
• ওয়ার্ডপ্রেস সেটিংস API টিউটোরিয়াল (অটো)

চেকবাক্সগুলি নির্বাচন অপশন জন্য প্লাগইন এবং থিম ব্যবহার করা উচিত checked()এবং selected()outputting জন্য ফাংশন checked="checked"এবং selected="selected"যথাক্রমে।

উপসর্গ ফাংশন এবং পরিবর্তনশীল নাম

প্লাগইনগুলিতে প্লাগইন-স্লাগ সহ সমস্ত বিকল্প, কাস্টম ফাংশন, কাস্টম ভেরিয়েবল এবং কাস্টম ধ্রুবকগুলির উপসর্গ করা উচিত।

থিমগুলিকে থিম-স্লাগ সহ সমস্ত বিকল্প, কাস্টম ফাংশন, কাস্টম ভেরিয়েবল এবং কাস্টম ধ্রুবকগুলির উপসর্গ করা উচিত।

একই ডোমেনের কোনও পৃষ্ঠায় সরাসরি নির্দেশ করার সময় পিএইচপি এর শিরোনাম () ফাংশনটি কল করার পরিবর্তে wp_safe_redirect () ব্যবহার করুন ।

অ্যাডমিন মেনুর উপযুক্ত বিভাগগুলিতে সেটিংস পৃষ্ঠাগুলি যুক্ত করুন

শীর্ষ স্তরের মেনু যুক্ত করার পরিবর্তে প্লাগইনগুলিতে add_options_page()প্লাগইন সেটিংস পৃষ্ঠাটি Settingsমেনুতে যুক্ত করতে ফাংশনটি ব্যবহার করা উচিত add_menu_page()।

শীর্ষ স্তরের মেনু যুক্ত করার পরিবর্তে add_theme_page()থিমগুলিকে থিম সেটিংস পৃষ্ঠাটি Appearanceমেনুতে যুক্ত করতে ফাংশনটি ব্যবহার করা উচিত add_menu_page()।