Soporte » Plugins y Hacks » No entiendo la seguridad de nonce…

  • No termino de entender la seguridad que aporta nonce, si se trata de un número que se genera en base a una serie de palabras y, al publicar el plugin dichas palabras quedan expuestas, ¿es seguro?.

    Estoy seguro de que es mi ignorancia la que habla, ¿podéis ayudarme?, por favor, que alguien me lo explique.

Viendo 2 respuestas - 1 de 2 (de 2 total)
  • Hola @josemortizs

    Puedes leerte este post para hacerte una idea de como funciona, etc… https://ayudawp.com/nonces-wordpress/

    Y para extenderlo un poco, independientemente de que action, name uses la key (NONCE_KEY) solo existe en el wp-config.php. Mirate el codigo de wp_create_nonce y veras que usa wp_salt que usa la key que menciono.

    Tu tienes que asegurate de hacer la verificacion y que sea apropiado el valor y obviamente usar la funcion apropiadas; wp_verify_nonce, check_admin_referer o check_ajax_referer

    Buenos días @kallookoo, gracias por tu respuesta. Tras leer el artículo que me enlazas me ha quedado todo más claro.

    El uso de wp_salt y el hecho de que la clave sea temporal son cosas que desconocía.

    ¡Muchas gracias!

Viendo 2 respuestas - 1 de 2 (de 2 total)
  • Debes estar registrado para responder a este debate.