Pour les sites Web de petite et moyenne taille.
Comment se protéger contre les attaque par force brute ?
Il semble comme chaque jour, il y a des annonces qui parlent sur la facilité d’être piraté et le montant de vos données qui est
Hébergement site web Tunisie , serveur vps cloud – Zenhosting
Trouvez le nom de domaine parfait.
Vous souhaitez transférer un domaine à Zenhosting.
Outil de recherche des informations WHOIS.
Obtenez un e-mail personnalisé et 100 Go de stockage.
Windows, macOS, Linux, Android, iOS, ….
Pour les sites Web de petite et moyenne taille.
L'univers E-commerce performant et simplifié.
Un seul hébergement pour tous vos sites web.
Sécurisez votre site web.
Des ressources spécifiques pour le développement.
Pour les entreprises qui souhaitent investir dans des serveurs polyvalents.
Identifiez les problèmes de référencement.
Accueil » Qu’est-Ce Que WordPress Nonce Et Comment Ça Marche ?
En cryptographie, un nonce fait référence à un “numéro utilisé une fois” et généré pour protéger les formulaires et les URL contre les attaques de piratage malveillant. Il se compose généralement de lettres et de chiffres aléatoires et a une durée de vie par défaut d’un jour, servant d’outil d’authentification pour certaines actions et entrées.
WordPress fait partie des nombreuses plates-formes qui adoptent cette fonctionnalité de sécurité, bien qu’en la modifiant légèrement. Que vous soyez un propriétaire de site cherchant à améliorer la sécurité de votre plateforme ou un développeur WordPress souhaitant protéger vos plugins contre les utilisateurs malveillants, cet article vous aidera à mieux comprendre.
WordPress Nonce est essentiellement le terme utilisé pour le nombre utilisé une fois . Il s’agit d’une valeur de chaîne, une clé unique temporaire qui est générée automatiquement par WordPress et agit comme un jeton de sécurité spécial pour vérifier si vous êtes la même personne qui effectue une action ou quelqu’un d’autre lors de la soumission d’un formulaire, de l’ajout d’un message, de la suppression d’un message, etc.
Les nonces WordPress protègent la plateforme contre diverses attaques malveillantes, notamment la falsification de requête intersite (CSRF). Cette cyberattaque exploite les vulnérabilités de sécurité de WordPress pour inciter les utilisateurs à soumettre des demandes indésirables, de la modification des informations de connexion des utilisateurs à la suppression de comptes d’utilisateurs.
Voici un exemple d’URL générée par WordPress lorsqu’un utilisateur souhaite supprimer des publications.
http://yourwebsite.com/wp-admin/post.php?post=123&action=trash
Si vous exécutez cette URL, WordPress vérifiera son cookie d’authentification pour vérifier la demande de suppression de la publication “123”.
Le problème est qu’une attaque CSRF peut facilement déguiser ce lien de requête en quelque chose d’autre. Lorsqu’un utilisateur clique dessus, le navigateur joint le cookie d’authentification et le fait ressembler à une demande valide. En conséquence, le site WordPress exécutera la requête HTTP malveillante, mettant en péril le contenu du site.
Les nonces empêchent les attaques CSRF en ajoutant une couche de protection supplémentaire à l’URL. Voici un exemple d’URL générée par un site Web WordPress avec une vérification nonce.
http://yourwebsite.com/wp-admin/post.php?post=123&action=trash&_wpnonce=b192fc4204
Si vous essayez d’accéder à cette URL sans que le nonce correct soit généré par WordPress, vous verrez un 403 Forbidden accompagné du message “Êtes-vous sûr de vouloir faire cela ?” Message d’erreur.
Gardez à l’esprit que les nonces WordPress, contrairement aux vrais nonces, peuvent être utilisés plus d’une fois tant qu’ils sont toujours valides. Les nonces WordPress sont également générés spécifiquement pour chaque session, ce qui signifie que leur valeur ne sera plus valide une fois qu’un utilisateur se connecte ou se déconnecte de la page.
Avant de vous présenter un exemple complet de la façon d’implémenter un nonce dans un formulaire ou dans une URL, laissez-nous comprendre comment le nonce fonctionne dans WordPress.
Il y a trois étapes que nous devons suivre pour implémenter un nonce dans un plugin WordPress ou un thème :
Comment créer un nonce ?
Pour créer un nonce, il existe un nom de fonction « wp_create_nonce ($action) » , qui génère et renvoie une valeur unique basée sur l’heure actuelle et le $action.
Le paramètre “$action” est facultatif mais recommandé , le paramètre $action fait référence à ce qui va se passer.
$nonce= wp_create_nonce('delete-post');
Comment passer un nonce via un formulaire ou une URL ?
Comment passer un nonce dans les URL.
<a href="monplugin.php?_wpnonce=<?php echo $nonce; ?>">
Comment passer un nonce dans Forms.
<form method="post"><?php wp_nonce_field( 'name_of_my_action', 'name_of_nonce_field' );?> <!-- quelques entrées ici ... --> </form>
Nous utilisons “wp_nonce_field($action,$name)” pour passer un nonce à travers les formulaires. La fonction wp_nonce_field() générera un champ d’entrée masqué qui stocke une valeur nonce et peut être récupéré ultérieurement.
Le paramètre “name_of_my_action” est le contexte dans lequel vous utilisez le champ nonce et “name_of_nonce_field” est tout nom que vous souhaitez spécifier. La valeur par défaut est « _wpnonce » . Il est préférable d’utiliser les paramètres $action et $name pour une meilleure sécurité.
Comment vérifier un nonce ?
Après l’avoir mis dans le formulaire, vous pouvez l’obtenir comme ceci :
if ( isset( $_POST['name_of_nonce_field'] ) && wp_verify_nonce( $_POST['name_of_nonce_field'], 'name_of_my_action' ) ) { // traite les données du formulaire } autre { print 'Désolé, votre nonce n'a pas vérifié. C'est un site WordPress sécurisé. allez prendre un café !!'; sortir; }
Dans cet exemple, nous créons un formulaire et un champ nonce intégré. Ce formulaire peut être utilisé pour votre page de contact ou tout ce que vous voulez pour votre site où vous recevez les contributions des utilisateurs.
Le code HTML du formulaire est (notez la fonction wp_nonce_field ):
<form id="form"> <?php wp_nonce_field( 'contact_form_submit', 'cform_generate_nonce' );?> <label>Nom</label> <input type="text" name="nom" class="text" id="nom"><br> <label>E-mail</label> <input type="email" name="email" class="text" id="email"><br> <label>Sujet</label> <input type="text" name="sujet" class="text" id="sujet"><br> <label>Message</label><textarea id="message" class="textarea" name="message"></textarea> <input name="action" type="hidden" value="simple_contact_form_process" /> <input type="submit" name="submit_form" class="button" value="envoyer un message" id="sendmessage"> <div class="formmessage"><p></p></div> </form>
Donc, vous avez votre formulaire de contact prêt et vous voulez maintenant prendre les données des entrées de formulaire et les traiter. Les entrées de formulaire sont les portes où la plupart des attaques malveillantes se produisent et les pirates exécutent tout ce qu’ils veulent. Ainsi, vous devez correctement désinfecter vos entrées qui sont très importantes pour la sécurité de votre site Web.
Voici comment vous allez vérifier nonce dans votre formulaire de contact.
<?php if(isset($_POST['submit_form'])) { if(!wp_verify_nonce('cform_generate_nonce','contact_form_submit')){ wp_die('Notre site est protégé !!'); }autre{ // traiter ici votre formulaire de contact avec les entrées de nettoyage appropriées. } } ?>
Your page rank:
Il semble comme chaque jour, il y a des annonces qui parlent sur la facilité d’être piraté et le montant de vos données qui est
L’exploration et l’indexation des sites Web constituent la première étape d’un processus complexe de compréhension de ce que sont les pages Web afin de les
Google Search Console fournit les données dont vous avez besoin pour surveiller les performances de recherche de votre site Web et améliorer votre classement de
Nous sommes un fournisseur d’hébergement Web dont la mission est d’apporter le succès à tous ceux qui vont en ligne.
Prenez votre communication avec vous en installant des applications complètes sur votre appareil Android, iOS windows et MacOs