Über die Plugin-Sicherheit

Ich entwickle ein paar einfache Plugins für bestimmte Zwecke und möchte es richtig machen.

Ich habe mehrere Seiten über die Sicherheit von Plugins gelesen, einschließlich derer .

• Deaktiviert test_form in wp_handle_upload ein Sicherheitsrisiko?
• Warum muss ich prüfen, ob wp_nonce_field () vorhanden ist, bevor Sie es verwenden
• WordPress schränkt den direkten Zugriff von Plugin-Dateien ein
• add_submenu_page hooked function muss die Benutzerfunktionen explizit überprüfen - warum?
• Wie kann ich den Authentifizierungscode von meiner Website abrufen?

Nun, wenn man bedenkt, dass meine Plugins nur zum Zweck haben, Dinge zu tun

• Schreibe statischen Inhalt auf einige Seiten
• Skripte / Stil einreihen
• entferne / filtere einige Standardaktionen, um Dinge zu deaktivieren, die ich nicht im HTTP-Header oder Seitenkopf benötige

Ich kann mir keine spezifischen Sicherheitsrisiken vorstellen, und sehe keinen Bedarf für die Überprüfung der Autorität / Absicht, die Verwendung von Nonce und so weiter.

Fehle ich etwas?

Ich habe gerade hinzugefügt, if ( ! defined( 'ABSPATH' ) ) exit; zu meinen Dateien und wird wahrscheinlich den Zugriff auf das Plugin-Verzeichnis mit dem .htaccess verweigern.

Könnte mir jemand aus Neugier auch ein Beispiel für eine Art Plugin geben, bei dem es nicht riskant wäre, Autorität und Absicht zu überprüfen?

Solutions Collecting From Web of "Über die Plugin-Sicherheit"