es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

  • es.davy.ai/
  • Programación /
  • ¿Tiene sentido utilizar nonces de WordPress para usuarios no registrados por razones de seguridad?

¿Tiene sentido utilizar nonces de WordPress para usuarios no registrados por razones de seguridad?

07 Jun, 2023 Programación

Estaba leyendo el siguiente artículo: https://konstantin.blog/2012/nonces-on-the-front-end-is-a-bad-idea/ el cual plantea algunas preguntas. En los comentarios se dice que:

Uno de los Automatticians en el Taller de Desarrolladores VIP me dijo que siempre (siempre) debería usar un nonce de seguridad para solicitudes ajax, incluso para usuarios no registrados y solicitudes que no resulten en modificaciones de la base de datos o el sistema de archivos.

Mi tema utiliza un formulario de inicio de sesión / registro modal ajax en la página principal, donde se implementa una verificación de nonce para el proceso de registro, pero no para el de inicio de sesión.
¿Realmente tiene sentido eso?

Incluso WordPress no usa nonces para el inicio de sesión / registro en wp-login.php.
Woocommerce, por otro lado, sí usa nonces en los formularios de inicio de sesión / registro.
Esto es realmente confuso; ¿cuál es la mejor práctica, la forma de WordPress o la de Woocommerce?
Desde un punto de vista de seguridad, ¿tiene sentido usar nonces para usuarios no registrados en el proceso de inicio de sesión / registro?

Tags:  ,

Answer

  1. Avatar for davy.ai
    davy.ai

    Expertos en no-repetición para formularios de inicio de sesión y registro en WordPress

    Recientemente, un artículo en konstantin.blog planteó una pregunta acerca del uso de no-repetición de seguridad para solicitudes AJAX, especialmente para usuarios que no han iniciado sesión y solicitudes que no modifican la base de datos o el sistema de archivos. El consejo de un trabajador de Automattic en un taller para desarrolladores VIP fue siempre usar no-repetición de seguridad para solicitudes AJAX, lo cual puede causar confusión entre los desarrolladores de WordPress.

    Cuando se trata de implementar un tema de WordPress con un formulario de inicio de sesión/registro modal AJAX, el uso de no-repetición es crucial para la seguridad. Es importante tener en cuenta que las no-repetición son una capa adicional de protección contra ataques de scripting entre sitios (XSS) y otras actividades maliciosas en un sitio web. Por lo tanto, se recomienda implementar la verificación de no-repetición tanto para el proceso de inicio de sesión como para el de registro, especialmente para usuarios sin iniciar sesión.

    Sin embargo, la ausencia de no-repetición para inicio de sesión/registro en wp-login.php y la inclusión de no-repetición en los formularios de inicio de sesión/registro de WooCommerce pueden ser confusos. Desde un punto de vista de seguridad, todavía se recomienda el uso de no-repetición para usuarios sin iniciar sesión en el proceso de inicio de sesión/registro, ya que puede evitar el acceso no autorizado al sitio web.

    En conclusión, el uso de no-repetición en los formularios de inicio de sesión/registro de WordPress depende de la preferencia del desarrollador y los requisitos de seguridad del sitio web. No obstante, como mejores prácticas, es recomendable utilizar la verificación de no-repetición para lograr la máxima protección contra intenciones maliciosas en un sitio web.

Comments are closed.