В WordPress nonce — это уникальные одноразовые токены, которые помогают защитить формы, ссылки и AJAX-запросы от CSRF-атак (Cross-Site Request Forgery). Несмотря на то, что nonce в переводе с английского означает "number used once" (число, используемое один раз), в WordPress nonce не всегда одноразовые, а имеют ограниченный срок действия.
Что такое nonce и зачем они нужны в WordPress
Nonce — это механизм, встроенный в ядро WordPress, который позволяет убедиться, что запрос или действие были инициированы именно пользователем с сайта, а не злоумышленником с другого ресурса. Они необходимы для защиты таких операций, как отправка форм, изменение настроек, выполнение AJAX-запросов и других действий, где требуется подтверждение прав пользователя.
Без nonce злоумышленник может подделать запрос от имени пользователя и выполнить нежелательные операции на сайте. Использование nonce значительно снижает риск подобных атак.
WordPress создает nonce на основе пользовательских данных, времени и действия, что делает его уникальным и валидным в течение определенного времени (обычно 12–24 часа).
Как создавать и проверять nonce в WordPress
Создание nonce
Для создания nonce в WordPress используются функции wp_create_nonce и wp_nonce_field. Первая возвращает строку nonce, вторая генерирует скрытое поле формы с nonce.
Пример создания nonce для действия 'wpfix_action':
$nonce = wp_create_nonce('wpfix_action');Для добавления nonce в HTML-форму можно использовать:
wp_nonce_field('wpfix_action', 'wpfix_nonce_field');Здесь 'wpfix_action' — это имя действия, а 'wpfix_nonce_field' — имя поля в форме, которое будет содержать nonce.
Проверка nonce
Проверка nonce происходит на стороне сервера при обработке запроса. Для этого используется функция wp_verify_nonce. Она возвращает:
- число 1 или 2 — если nonce валиден;
- false — если nonce невалиден или просрочен.
Пример проверки nonce из POST-запроса:
if ( ! isset( $_POST['wpfix_nonce_field'] ) || ! wp_verify_nonce( $_POST['wpfix_nonce_field'], 'wpfix_action' ) ) {
wp_die('Ошибка безопасности: неверный nonce.');
}Использование nonce в AJAX-запросах WordPress
При работе с AJAX важно защитить обработчики, чтобы запросы выполнялись только с вашего сайта и от авторизованных пользователей.
Добавим nonce в JavaScript, передав его из PHP:
function wpfix_enqueue_scripts() {
wp_enqueue_script('wpfix-ajax', get_template_directory_uri() . '/js/wpfix-ajax.js', array('jquery'), null, true);
wp_localize_script('wpfix-ajax', 'wpfix_ajax_obj', array(
'ajax_url' => admin_url('admin-ajax.php'),
'nonce' => wp_create_nonce('wpfix_ajax_nonce')
));
}
add_action('wp_enqueue_scripts', 'wpfix_enqueue_scripts');В JS отправим nonce вместе с данными AJAX-запроса:
jQuery(document).ready(function($) {
$('#wpfix-button').click(function() {
$.post(wpfix_ajax_obj.ajax_url, {
action: 'wpfix_custom_action',
security: wpfix_ajax_obj.nonce,
data: 'test'
}, function(response) {
alert('Ответ сервера: ' + response);
});
});
});Обработчик в PHP проверяет nonce и выполняет действие:
function wpfix_handle_ajax() {
check_ajax_referer('wpfix_ajax_nonce', 'security');
// Логика обработки запроса
wp_send_json_success('Данные успешно обработаны');
}
add_action('wp_ajax_wpfix_custom_action', 'wpfix_handle_ajax');
add_action('wp_ajax_nopriv_wpfix_custom_action', 'wpfix_handle_ajax');Советы и лучшие практики по работе с nonce в WordPress
1. Всегда создавайте nonce для всех форм, особенно для тех, которые изменяют данные или настройки.
2. Проверяйте nonce перед выполнением действий — это базовый уровень защиты.
3. Используйте уникальные названия действий и полей nonce, чтобы избежать конфликтов с другими плагинами или темами.
4. Для AJAX-запросов применяйте функцию check_ajax_referer, которая удобна для проверки nonce с автоматическим завершением запроса при ошибке.
5. Помните, что nonce не защищают от всех видов атак, их нужно использовать в комплексе с другими мерами безопасности.
Пример создания своей функции обработки nonce с префиксом wpfix
Для удобства и повторного использования можно создать свои обертки для создания и проверки nonce:
function wpfix_create_nonce($action) {
return wp_create_nonce($action);
}
function wpfix_verify_nonce($nonce, $action) {
return wp_verify_nonce($nonce, $action);
}Эти функции помогут стандартизировать работу с nonce в вашем проекте и облегчат поддержку кода.
Заключение
Nonce — обязательный инструмент для обеспечения безопасности WordPress-сайтов. Правильное их использование предотвращает атаки типа CSRF и защищает данные пользователей. Важно не только добавлять nonce в формы и запросы, но и корректно их проверять, а также следовать рекомендациям по безопасности.