Capabilities Check

WordPress 🟡 Mid

Definition

Verification systematique des permissions utilisateur avant toute action sensible via current_user_can(). Pilier de la securite WordPress.

Analogie

Comme un vigile qui verifie le badge avant de laisser entrer dans une zone restreinte.

Exemple de code

add_action('wp_ajax_delete_item', function() {
  if (!current_user_can('delete_posts')) {
    wp_send_json_error('Non autorise', 403);
  }
  check_ajax_referer('delete_item_nonce');
  // Suppression securisee
});

Cas d'usage

Avant toute action admin : CRUD, changement de settings, acces aux donnees sensibles.

Anti-pattern

Verifier seulement is_admin() ou le role au lieu de la capability specifique.

Termes lies

#core#interview#security#wordpress