WordPressでは、nonceはハッキングからURLやフォームを保護するために使用されるセキュリティ機能です。これは、URLに個別番号を追加することによって行われます。
例えば、WordPressはコメントモデレーション画面からコメントを削除すると、次のようにURLにnonceキーを追加する:
http://www.example.com/wp-admin/comment.php?c=16570&action=deletecomment&_wpnonce=389c3b47b9
nonceはどのようにWordPressサイトを保護するのか?
WordPressの関数や機能の中には、特定のアクションを実行するためにURL内のクエリー文字列を使用するものがあります。nonceはこれらの文字列をランダム化するために使用され、ハッカーに推測されて悪用されないようにします。
WordPressは定数NONCE_SALTとNONCE_KEYを使用して一意のnonceを生成します。これらのnonce saltとセキュリティキーは、他のユニークなキーとともにwp-config.phpファイルに保存され、各WordPressサイトに固有です。
Nonce 検証とエラーメッセージ
nonceキーを持つURLが実行されると、検証チェックを受ける。
このチェックに失敗した場合、WordPressは403 Forbiddenレスポンスと「本当に〜してもよいですか」というエラーメッセージを返します。
このエラーの原因は、プラグインやテーマのコーディングが不十分で、nonceの検証に失敗している可能性があります。
この問題を解決するには、ユーザーはすべてのプラグインをオフにし、1つずつ有効化して、どのプラグインがエラーの原因になっているかを突き止めることができる。
テーマの場合、デフォルトテーマに切り替えてからエラーを再現してみると、以前使用していたテーマが問題を引き起こしていることがわかるかもしれない。
WordPressのnonceについて、この投稿がお役に立てば幸いです。また、WordPressの便利なTipsやトリック、アイデアに関する関連投稿は、以下の「Additional Reading」リストをご覧ください。
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
