テーマのセキュリティ

2020.04.07 2020.04.07

TOPICS

翻訳元記事はこちらです。

導入

WordPress の開発チームは、セキュリティを真剣に考えています。
ウェブの多くがプラットフォームの完全性に依存しているため、セキュリティは必要不可欠です。コア開発者にはコアプラットフォームの安全性確保に特化した専門チームがありますが、テーマ開発者としては、コア以外の部分にも脆弱性がある可能性のあるものが、たくさんあることを認識しています。
WordPress は非常に多くのパワーと柔軟性を提供しているため、プラグインやテーマは弱点となる重要なポイントです。

セキュリティマインドセットの開発

テーマを開発する際には、機能を追加する際にセキュリティを考慮することが重要です。テーマの開発を始める際には、以下の原則を参考にしてください。

いかなるデータも信用してはいけません。ユーザー入力、サードパーティのAPI、または検証なしにデータベース内のデータを信用してはいけません。WordPress テーマの保護は、テーマに出入りするデータが意図した通りであることを確認することから始まります。入力時には必ず検証を行い、使用前や出力時にはデータをサニタイズ（エスケープ）するようにしてください。
WordPressのAPIを頼りにしましょう。WordPress のコア機能の多くは、データを検証したりサニタイズしたりする機能を内蔵しています。可能な限り、WordPress が提供する機能を利用しましょう。
テーマを最新の状態に保つ。テクノロジーの進化に伴い、テーマに新たなセキュリティホールが発生する可能性があります。常にコードを維持し、必要に応じてテーマを更新するようにしてください。

この章では、データの検証やサニタイズ/エスケープ技術を用いて安全なテーマを書くこと、安全なトークンを生成するために nonces を使用すること、一般的なセキュリティ攻撃のレビューと、それらに対してテーマを強固にする方法についての背景を説明します。