Nonce WordPress

WordPress 🟡 Mid

Definition

Token de securite WordPress (number used once) qui protege contre les CSRF et les acces non autorises. Valide 24h, lie a l'action et a l'utilisateur.

Analogie

Comme un ticket d'entree a usage unique qui prouve que c'est bien toi qui as demande l'acces.

Exemple de code

// Generation
$nonce = wp_create_nonce('delete_post_42');

// Verification
if (!wp_verify_nonce($_POST['_nonce'], 'delete_post_42')) {
  wp_die('Securite : requete non autorisee');
}

Cas d'usage

Sur tout formulaire et lien d'action dans l'admin et le front-end WordPress.

Anti-pattern

Utiliser un nonce generique ('mon_nonce') au lieu d'un nonce specifique a l'action.

Termes lies

#core#interview#security#wordpress