UPLOAD Notizblog

Wirre Notizen, Zitate, Bilder und Videos. Powered by UPLOAD - Magazin für digitales Publizieren.
January 26

Wordcamp08 Session: Plugins und Sicherheit

Session von Frank Bültge.

Autor eines Wordpress-Buchs, aber kein Webworker p.ä. Dipl. Ing. (FH) für Feinwerktechniker, Entwicklung Konstruktion

Plugins

Bringen zusätzliche Funktionen, aber man sollte möglichst wenige Plugins einsetzen. “Nicht die Masse macht es.” Welche brauche ich wirklich? Hinweis: Bei vielen Plugin-Autoren geht es primär um die Funktion, weniger um die Sicherheit.

Vorsichtig mit Plugins sein. Vorher dazu recherchieren. Ist der Autor vertrauenswürdig?

PHP und Sicherheit

Mit PHP kann man viel machen, aber es ist auch extrem unsicher, es gibt viele Schwachstellen. Man braucht Grundlagen für sichere Entwicklung. “Man sollte sich mit den Schwachstellen auseinandersetzen.” Im wesentlichen gibt es 12 Punkte, mit denen man sich beschäftigen sollte.

Sichere WP-Plugins

Coding-Standards von PHP und Wordpress einhalten. Sicherheitsgrundlagen von PHP kennen.

PHP-Möglichkeiten, um mehr Sicherheit zu schaffen. Zentrale Funktionen: htmlspecialchars(), strip_tags(), urlencode(), intval() und addslashes(), mysql_escape_string()

Tipp: Variablen initialisieren, erst einmal auf null stellen.

Error-Reporting von PHP in der Entwicklung

Wordpress-Möglichkeiten: Konstanten nutzen, um mehr Sicherheit zu schaffen. Pfad-Angaben bspw. nicht mit Variablen. Stattdessen TEMPLATEPATH nutzen.

WP_DEBUG: Wordpress meldet jeden Fehler. Kann man auf dem Entwicklungssystem machen, um Fehler aufzuspüren.

Cookie: COOKIEPATH und weitere Konstanten sind vorhanden. “Da muss man das Rad nicht neu erfinden.”

Tipp: Funktionen und Konstanten selbst suchen in den Dateien. Dokumentation kommt mit den neuen Möglichkeiten nicht mehr nach.

Funktion attribute_escape()

wp_nonce() macht Formulare auch im Backend sicherer. Schlüssel wird generiert. “Ist sehr einfach zu benutzen.”

Neu: WP-Plugin-Framework

Alle sicherheitsrelevanten Punkte mit den entsprechenden Funktionen sind darin enthalten. Derzeit nur eine englische Dokumentation, deutsche kommt noch. “Ist leicht einzubinden, bringt nicht Unmengen von Code.”

Soll in eine der kommenden Wordpress-Versionen übernommen werden.

“Die Plugin-Vielfalt wird noch größer werden.”

Tag: wordcamp08