セキュリティマインドセットの開発

開発を行う際には、機能を追加する際にセキュリティを考慮することが重要です。開発の進行に伴い、以下の原則を使用してください:

  • データを信頼しない。 ユーザー入力、サードパーティのAPI、またはデータベース内のデータを検証なしに信頼しないでください。WordPressテーマの保護は、テーマに入るデータと出るデータが意図したものであることを確認することから始まります。使用する前にユーザー入力を常に検証およびサニタイズし、出力時にはエスケープすることを確認してください。
  • WordPress APIに依存する。 多くのコアWordPress関数は、データの検証とサニタイズの機能を内蔵しています。可能な限りWordPressが提供する関数に依存してください。
  • コードを最新の状態に保つ。 技術が進化するにつれて、プラグインやテーマに新しいセキュリティホールが生じる可能性もあります。コードを維持し、必要に応じて更新することで警戒を怠らないでください。

指針原則

  • 1. ユーザー入力を決して信頼しない。
  • 2. 可能な限り遅くエスケープする。
  • 3. 信頼できないソース(例:データベースやユーザー)、サードパーティ(例:Twitter)からのすべてをエスケープする。
  • 4. 何も仮定しない。
  • 5. サニタイズは問題ありませんが、検証/拒否の方が良い。