WordPressにおいて、ノンス(nonce)はURLやフォームをハッキングから保護するために使用されるセキュリティ機能です。これは、URLに一意の使い捨て番号を追加することによって行われます。
例えば、コメント管理画面からコメントを削除すると、WordPressはURLにノンスキーを追加します。次のようになります。
http://www.example.com/wp-admin/comment.php?c=16570&action=deletecomment&_wpnonce=389c3b47b9
ノンスはWordPressサイトをどのように保護するのか?
一部のWordPress関数と機能は、特定のアクションを実行するためにURLにクエリ文字列を使用します。ノンスは、これらの文字列をランダム化するために使用されるため、ハッカーによって推測されたり悪用されたりすることはありません。
WordPressでは、ユニークなノンスを生成するために定数NONCE_SALTとNONCE_KEYを使用します。これらのノンスソルトとセキュリティキーは、他のユニークなキーと共にwp-config.phpファイルに保存され、各WordPressサイトに固有のものです。
ノンス検証とエラーメッセージ
ノンスキー(nonce key)を含むURLが実行されると、検証チェックが行われます。
このチェックが失敗した場合、WordPressは403 Forbiddenレスポンスと「本当にこれを実行しますか?」というエラーメッセージを返します。
このエラーは、コードが不十分なプラグインまたはテーマによって引き起こされる可能性があり、ノンス検証が失敗します。
この問題を解決するために、ユーザーはすべてのプラグインを無効にし、1つずつ有効にして、どのプラグインがエラーを引き起こしているかを特定できます。
テーマについては、デフォルトのテーマに戻してからエラーを再現しようとすると、以前使用していたテーマが問題を引き起こしていた可能性を特定できます。
この記事がWordPressのノンスについてより深く理解するのに役立ったことを願っています。関連するWordPressのヒント、トリック、アイデアに関する記事の追加の読み物リストも以下にあります。
この記事が気に入った場合は、WordPressのビデオチュートリアルのために、YouTubeチャンネルを購読してください。また、TwitterやFacebookでも私たちを見つけることができます。
