ajax nonce wordpress sécurité. Puis-je l'utiliser pour protéger mes données json contre le grattage?

Question

Je construis un plugin wordpress avec ajax et cherche à protéger les données json des regards indiscrets et des grattoirs de données. Du côté serveur, j'envoie un nonce dans un champ html caché dans une soumission de formulaire à un script jquery.

Ce script demande via GET des données json à partir d'un fichier php.

Avant le fichier php répondant à la requête GET, il vérifie d'abord que le nonce est valide et, le cas échéant, renvoie les données json. Si non, renvoie rien/meurt/fait quelque chose de cool pour verrouiller cette adresse IP pour un certain laps de temps.

Si un racleur va directement au fichier de données avec une requête get, mais le nonce incorrect, aucune donnée n'est retournée. Si une personne jette un coup d'oeil dans le fichier de données, mais ils n'ont pas le nonce, alors ils ne verront rien ... est-ce correct? Je suis conscient que le nonce n'est utilisé qu'une seule fois, donc même s'ils ont un ancien nonce, ils ne pourront toujours pas voir les données sauf si un nouveau nonce est généré par wordpress? Est-ce possible ou ai-je complètement manqué le point du nonce?

Answer 1

Il me semble que vous avez l'idée générale sur la façon dont fonctionne nonce Wordpress, mais voici quelques lectures de toute façon:

Mark Jaquith - WordPress Nonces
Vladimir Prelovac - Using Nonces in WordPress Plugins

Je pense que vous devez garder à l'esprit quelques choses: Si toutes ces fonctionnalités sont principalement utilisées sur le côté Admin de Wordpress, alors vous devez également comprendre que pour qu'un grattoir soit même considéré comme une menace, il faut uld nécessite les mêmes informations d'identification qu'un utilisateur normal. Comment un grattoir peut-il gratter votre panneau d'administration sans nom d'utilisateur et mot de passe? Ça ne peut pas. Si vous êtes satisfait de la sécurité de base utilisée par Wordpress, votre fonctionnalité supplémentaire de Nonce est beaucoup de flash et de flare pour éliminer une menace qui n'existe pas.

Si vos données sensibles doivent être conservées à l'écart du panneau d'administration, alors Nonce peut être un moyen de le sécuriser, je suppose, mais ce n'est vraiment pas le but de Nonce. Il existe de nombreux moyens plus propres de sécuriser vos informations plutôt que de s'appuyer sur la fonctionnalité Nonce de Wordpress, alors envisagez d'envisager une alternative plus pertinente.

IP Banning est soigné et tout, mais vous devez également comprendre que ce n'est pas une méthode infaillible, car les adresses IP peuvent être facilement truquées, et cela pourrait avoir des conséquences inattendues. Vous pourriez être en mesure de réussir à interdire l'adresse IP de quelqu'un qui a tenté d'accéder à des informations privées, mais que se passerait-il si cette personne tentait cela sur un réseau? Vous avez effectivement interdit à un réseau entier d'accéder à votre site, et pas seulement à une seule personne. Dans l'ensemble, vous devez vous assurer que vous utilisez les bons outils pour un travail particulier. Je pense que l'utilisation de Nonce dans ce but est certainement possible, mais elle est loin d'être idéale.