Je sais que wp_verify_nonce()
est utilisé pour s'assurer que le $_POST
Vient d'un endroit sûr.
Je développe un plugin WordPress qui crée des listes personnalisées. Pour ce faire, le propriétaire du site Web doit accéder aux paramètres de connexion, connectez-vous à votre serveur wp-admin
.
Est-il nécessaire d'utiliser wp_create_nonce()
& wp_verify_nonce()
si le formulaire est accessible uniquement après la connexion wp-admin?
Oui, les nonces doivent toujours être utilisés lorsqu'un utilisateur authentifié déclenche une action via une requête GET/POST. L'un des principaux objectifs du nonce est de garantir que l'utilisateur actuel a réellement l'intention de déclencher cette demande. Il empêche la vulnérabilité de sécurité connue sous le nom de Cross-Site Request Forgery (CSRF), où un attaquant peut amener un utilisateur authentifié à entreprendre une action qu'il n'avait pas l'intention de mener. La vérification d'un nonce valide empêche cela, car l'attaquant ne peut pas deviner le nonce, il ne peut donc pas forger une demande de soumission de formulaire et inciter un administrateur à la soumettre.
Notez que l'attaquant n'a pas besoin d'avoir accès au formulaire lui-même, comme le présente votre plugin, pour effectuer cette attaque. Ils peuvent créer leur propre formulaire d'imitation ou déclencher la demande d'une autre manière.