この質問で提案されているように、プラグイン/テーマセキュリティのベストプラクティスに関するコミュニティディスカッション/投票のために、このトピックを新しい質問として追加しています。

テーマの確認に使用する現在の（進行中の）設定/データセキュリティチェックリストに基づく開始チェックリストを以下に示します（原則はプラグインでもテーマと同じである必要があります）。

安全でしっかりとコード化されたテーマ設定ページでテーマをチェックアウトしたい場合は、このテーマをチェックアウトしてください：http :
//wordpress.org/extend/themes/coraline

ノンスを使用（設定APIを使用しない場合）

プラグインとテーマは、設定APIを使用していない場合、設定ページのナンスチェックを明示的に提供する必要があります。

• WordPressナンス（コーデックス）
• WordPressナンス（マークジャキス）
• Noncesを使用したWordPressプラグインのセキュリティの改善（Vladimir Prelovac）
• WordPressでAJAXを使用するための5つのヒント> 3.ノンスを使用して許可を確認する（Gary Cao）

データのサニタイズ、検証、エスケープ

フロントエンドとバックエンドの両方でデータベースに出入りする可能性のあるものはすべてサニタイズしてください！

プラグインとテーマは、適切なデータ検証を実行する必要があります。

1. データベースにデータを入力する前に、すべての信頼できないデータを検証およびサニタイズします
2. 設定フォームのフィールドに出力される前に、すべての信頼できないデータをエスケープします

3. テーマテンプレートファイルに出力される前に、信頼できないデータをすべてエスケープします

   • データ検証（コーデックス）

プラグインとテーマはesc_attr()、テキスト入力esc_html()またはesc_textarea()テキスト領域に使用する必要があります。

また、WordPressのAPIから利用可能でesc_url()、esc_url_raw()、esc_js()とwp_filter_kses()。

悪い例：

<?php $url = 'javascript:pwnd()'; ?>
<a href="<?php echo $url; ?>">anchor</a>

良い例え：

<a href="<?php echo esc_url($url); ?>">anchor</a>

これは、エスケープ機能の使用法を説明するマークジャキースの素晴らしいビデオです。

• テーマとプラグインのセキュリティ

$ _GET / $ _POST / $ _REQUESTを慎重に使用し、より良いAPIが利用できない場合にのみ使用してください

プラグインとテーマは$_POST、$_REQUESTデータに直接依存するのではなく、設定APIを使用してフォーム入力データを取得および保存する必要があります。

つかいます $wpdb->prepare

$wpdbオブジェクトを介してカスタムクエリを作成するとき$wpdb->prepareは、クエリをSQLコードと混合したデータで記述するのではなく、常にプレースホルダーを値で埋めるために使用しmysql_*てください。

悪意のあるコードの実行に使用される可能性のあるPHP関数に注意してください

PHPを書いている人にとっては朗報です：StackOverflowで悪用可能なPHP関数。

テーマ変更APIを使用する

テーマは、独自の名前体系ではなく、set_theme_mod()関連する機能を使用する必要があります。 theme_mod APIは、設定API専用のレイヤーです。一意の名前を保証し、すべてのオプションを1つの配列にプッシュします。私の経験からすると、処理がはるかに簡単です。さらに、プラグイン用の標準化されたフィルターを提供します。これは相互運用性に適しています。

有効にしない register_globals

に依存しないでくださいregister_globals = on。私の最後のクライアントが購入したプロのテーマはまさにこれを行います。5分でこのテーマを使用して任意のサイトをハッキングできました…
ThimbThumbもこれを実行しました（まだ実行していますか）。

不要なワイドアクセス許可を持つファイルを作成しないでください

あまりにも自由なアクセス許可を持つファイルを作成しないでください。

可能な場合はSSLを使用する

あなたのポイントのTwitter / Facebookの/何の上で共有可能な場合HTTPS URIへのリンク。読者のセキュリティも重要です。

データを単一の配列に保存する

プラグインとテーマは、設定ページに複数のオプションを作成するのではなく、オプションを単一の配列に保存する必要があります。Settings APIを使用すると、これを処理できます。

設定ページを追加および出力するときに適切な機能を確認します

プラグインは、設定ページを追加する機能に適切な機能（manage_options）を使用する必要があります。

テーマは、設定ページを追加するedit_theme_options適切な機能として使用する必要があります。

• 役割と機能（コーデックス）

最新のチュートリアルと情報を使用する

プラグイン＆テーマはオプションと設定ページが意図的にし、実装する必要があり、両方ではない時代遅れであり、このような下に列挙したような適切なデータセキュリティを、含まれていないコピー＆ペーストウェブサイトのチュートリアルに依存しています。

してはいけないことの例：

• ワードプレステーマ（1stwebdesigner.com）のオプションページを作成する方法

• 素晴らしいWordPressテーマオプションページパート1（wpshout.com）を作成する

設定APIを使用する

プラグインとテーマは設定APIを使用する必要があります。設定APIは使いやすく、より安全で、設定ページの多くの面倒な作業を処理します。

• 設定API（コーデックス）

Settings APIの使用に関する優れたチュートリアルについては、以下を参照してください。

• WordPressテーマに設定APIを組み込む（Chip Bennett）
• register_setting（）を使用したWordPressのプラグインオプションの処理（Ozh Richard）
• WordPress設定APIチュートリアル（Otto）

チェックボックスを選択オプションについては、プラグインとテーマを使用する必要がありますchecked()し、selected()出力するための機能をchecked="checked"してselected="selected"、それぞれ。

プレフィックス関数と変数名

プラグインは、すべてのオプション、カスタム関数、カスタム変数、カスタム定数の前にplugin-slugを付ける必要があります。

テーマは、すべてのオプション、カスタム関数、カスタム変数、カスタム定数の前にtheme-slugを付ける必要があります。

同じドメインのページにリダイレクトするときに、phpのheader（）関数を直接呼び出す代わりに、wp_safe_redirect（）を使用します。

設定メニューを管理メニューの適切なセクションに追加します

プラグインは、トップレベルメニューを追加するのではなく、add_options_page()関数を使用してSettingsメニューにプラグイン設定ページを追加する必要がありadd_menu_page()ます。

テーマは、トップレベルメニューを追加するのではなく、add_theme_page()関数を使用してテーマ設定ページをAppearanceメニューadd_menu_page()に追加する必要があります。