[et_pb_section fb_built=\u00bb1″ _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb][et_pb_row _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb][et_pb_column type=\u00bb4_4″ _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb][et_pb_text _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n
En lo que respecta al mundo del desarrollo web, la seguridad siempre ha sido un pilar fundamental. Y cuando hablamos de WordPress, una plataforma que alimenta a m\u00e1s del 30% de los sitios web en todo el mundo, la importancia de mantener nuestros datos y contenidos seguros se magnifica a\u00fan m\u00e1s.<\/p>\n
Aqu\u00ed es donde entran en juego los nonces<\/strong>. Aunque este t\u00e9rmino puede parecer t\u00e9cnico y un poco enigm\u00e1tico, su relevancia en el \u00e1mbito de la seguridad de WordPress<\/a> es innegable. Los nonces<\/strong> act\u00faan como guardianes silenciosos, protegiendo nuestro sitio de posibles amenazas y vulnerabilidades.<\/p>\n Pero, \u00bfqu\u00e9 son con exactitud?<\/strong> \u00bfY c\u00f3mo funcionan?<\/strong> En esta gu\u00eda, veremos el misterio detr\u00e1s de los nonces<\/strong> de WordPress, explorando su definici\u00f3n, su papel crucial en la seguridad y las mejores pr\u00e1cticas para implementarlos.<\/p>\n Si estamos buscando la integridad y el buen funcionamiento de nuestro sitio WordPress, en este tema vamos a descubrir c\u00f3mo los nonces<\/strong> pueden ser nuestros mejores aliados en la prevenci\u00f3n de ataques malintencionados. \u00a1Prep\u00e1rate para una inmersi\u00f3n profunda en uno de los aspectos m\u00e1s t\u00e9cnicos pero esenciales de WordPress!<\/strong><\/p>\n [\/et_pb_text][et_pb_text _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n En el desarrollo y la seguridad web, es esencial estar familiarizado con los t\u00e9rminos y herramientas que nos ayudan a proteger nuestros sitios. Uno de estos t\u00e9rminos es nonce<\/strong>, que podr\u00eda parecer extra\u00f1o al principio, pero su funci\u00f3n es vital. Originado del concepto number used once (n\u00famero usado una vez)<\/strong>, un nonce<\/strong> en WordPress es un n\u00famero o c\u00f3digo especial que se genera y se utiliza una sola vez, para proteger a WordPress de ciertos tipos de ataques maliciosos, en particular el CSRF (Cross-Site Request Forgery)<\/strong>.<\/p>\n Imaginemos los nonces<\/strong> como sellos de tiempo temporales que se adjuntan a las solicitudes o formularios. Estos sellos garantizan que la solicitud proviene de una fuente confiable y que no ha sido alterada durante su tr\u00e1nsito. Al ser \u00fanicos y temporales, los nonces<\/strong> dificultan que los atacantes repliquen o reutilicen las solicitudes.<\/p>\n Los nonces<\/strong> son una herramienta esencial en el arsenal de seguridad de WordPress. Aunque su nombre pueda sonar algo raro, su funci\u00f3n es sencilla, pero poderosa: garantizar que cada acci\u00f3n realizada en nuestro sitio WordPress<\/a> provenga de fuentes leg\u00edtimas y seguras. Es como tener un portero que verifica la identidad de cada visitante antes de permitirle entrar, asegurando que solo las personas autorizadas tengan acceso.<\/p>\n [\/et_pb_text][et_pb_image src=\u00bbhttps:\/\/pruebasweb.argenispaz.com\/wp-content\/uploads\/2023\/10\/protect-privacy-4.png\u00bb _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb hover_enabled=\u00bb0″ global_colors_info=\u00bb{}\u00bb title_text=\u00bbprotect-privacy-4″ sticky_enabled=\u00bb0″][\/et_pb_image][et_pb_text _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n En lo que respecta a WordPress, donde la interacci\u00f3n y la din\u00e1mica de contenido son constantes, la seguridad se convierte en una prioridad. Aqu\u00ed es donde los nonces<\/strong> entran en juego, actuando como guardianes silenciosos que trabajan entre bastidores. Pero, \u00bfcu\u00e1l es su verdadero prop\u00f3sito?<\/strong><\/p>\n Los nonces<\/strong> de WordPress sirven como una medida de seguridad para proteger a los sitios de ataques malintencionados. Su funci\u00f3n principal es asegurarse de que una solicitud o acci\u00f3n espec\u00edfica provenga de una fuente confiable y que se realice de manera leg\u00edtima. Al hacerlo, los nonces previenen:<\/strong><\/p>\n Ataques CSRF (Cross-Site Request Forgery):<\/strong> estos ataques enga\u00f1an a un usuario para que realice acciones no deseadas en un sitio web en el que ha iniciado sesi\u00f3n. Gracias a los nonces<\/strong>, se puede verificar la autenticidad de cada solicitud, evitando que los atacantes exploten esta vulnerabilidad.<\/p>\n Reutilizaci\u00f3n de solicitudes:<\/strong> dado que un nonce<\/strong> se utiliza solo una vez, evita que las solicitudes antiguas se reutilicen o se repliquen.<\/p>\n Manipulaci\u00f3n de formularios:<\/strong> al incluir un nonce<\/strong> en un formulario, se garantiza que el formulario proviene del sitio original y no ha sido alterado por terceros.<\/p>\n Acciones no autorizadas:<\/strong> los nonces<\/strong> aseguran que las acciones, como la publicaci\u00f3n de un comentario o la actualizaci\u00f3n de una configuraci\u00f3n, sean realizadas por usuarios leg\u00edtimos y no por bots o atacantes.<\/p>\n [\/et_pb_text][et_pb_image src=\u00bbhttps:\/\/pruebasweb.argenispaz.com\/wp-content\/uploads\/2023\/10\/security-1.png\u00bb _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb hover_enabled=\u00bb0″ global_colors_info=\u00bb{}\u00bb title_text=\u00bbsecurity-1″ sticky_enabled=\u00bb0″][\/et_pb_image][et_pb_text _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n Imaginemos que estamos construyendo un castillo;<\/strong> los nonces<\/strong> ser\u00edan el foso que rodea las murallas, a\u00f1adiendo una barrera extra contra posibles invasores. Es una herramienta sutil, pero esencial en la estrategia de seguridad de cualquier sitio WordPress.<\/p>\n Los ataques m\u00e1s habituales en WordPress utilizando este tipo de m\u00e9todo pueden ser:<\/p>\n Los nonces<\/strong> se establecen por un tiempo, en este caso el tiempo por defecto de estos son de 24 horas<\/strong>, el cual puede ser cambiado con una funci\u00f3n que veremos luego en pr\u00f3ximos puntos de esta gu\u00eda.<\/p>\n [\/et_pb_text][et_pb_text _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n A\u00f1adir nonces<\/strong> en WordPress es como instalar un sistema de alarma en nuestro hogar; es una medida preventiva que te brinda una capa adicional de seguridad. Aunque puede parecer un proceso t\u00e9cnico, WordPress ha simplificado esta tarea para que incluso los usuarios menos experimentados puedan implementarla. A continuaci\u00f3n, Veremos algunos pasos para que podamos a\u00f1adir nonces<\/strong> a nuestro sitio de WordPress.<\/p>\n [\/et_pb_text][et_pb_text _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n Lo primero que necesitamos es crear un nonce<\/strong>, para esto podemos hacer uso de los comandos habituales o bien hacerlo de forma manual por la funci\u00f3n de wp_create_nonce()<\/strong>, esta nos permitir\u00e1 crear un nonce<\/strong> para una acci\u00f3n espec\u00edfica en caso de que no sea una acci\u00f3n general de nuestro sitio.<\/p>\n [\/et_pb_text][et_pb_code _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb] <\/code>[\/et_pb_code][et_pb_text _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n Algunas veces las URL desencadenan un proceso que no es perceptible para nosotros, pero son ejecutados en segundo plano, el hecho de incorporar un nonce<\/strong> a estas URL es fundamental para prevenir cualquier intento de ataque.<\/p>\n Por lo cual se puede usar la funcion wp_nonce_url()<\/strong>, esta nos permitir\u00e1 implementar en una URL una cadena que denote una acci\u00f3n por parte del usuario, si por ejemplo tenemos que integrar una funci\u00f3n espec\u00edfica, lo ideal es nombrarla acorde a lo que realiza.<\/p>\n Tengamos de ejemplo la funci\u00f3n de eliminar una entrada de WordPress<\/a> como (eliminar-entrada)<\/strong> y el c\u00f3digo se mostrar\u00eda de la siguiente forma:<\/p>\n [\/et_pb_text][et_pb_code _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb] <\/code>[\/et_pb_code][et_pb_text _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n Es probable que necesitemos esa protecci\u00f3n extra en los formularios de WordPress<\/a>, de esta forma crear un campo oculto es fundamental. El prop\u00f3sito de este campo es ayudarnos a la protecci\u00f3n contra bots o spam en WordPress.<\/p>\n El proceso para agregar este nonce<\/strong> a los formularios var\u00eda un poco en cuanto a la funcion, wp_nonce_field()<\/strong>. Los argumentos a los que llama esta funci\u00f3n es para campos de una web, obtendr\u00edamos algo as\u00ed:<\/p>\n [\/et_pb_text][et_pb_code _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb] <\/code>[\/et_pb_code][et_pb_text _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n De este c\u00f3digo podemos destacar lo siguiente:<\/strong><\/p>\n Un ejemplo que podemos tener, es un nonce<\/strong> para un formulario donde realizara un borrado de un comentario, este se har\u00eda de la siguiente forma:<\/p>\n [\/et_pb_text][et_pb_code _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb] <\/code>[\/et_pb_code][et_pb_text _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n Para comprender un poco este c\u00f3digo, se ha agregado un nonce para que borre un comentario, es por esto que la funci\u00f3n se llama borrar-comentario, y la funci\u00f3n espec\u00edfica es nonce_del_formulario. Como esta funci\u00f3n hace un llamado a una acci\u00f3n PHP o funci\u00f3n, esta mostrara algo como esto:<\/p>\n [\/et_pb_text][et_pb_text _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n <input type=\u00bbhidden\u00bb id=\u00bb nonce_de_mi_formulario \u00bb name=\u00bb nonce_de_mi_formulario \u00bb value=\u00bb685b6655a0″ \/> [\/et_pb_text][et_pb_text _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n Algunas veces solo necesitamos validar que nuestros nonces<\/strong> est\u00e9n implementados de forma correcta, si este es el caso podemos hacer uso de una funci\u00f3n para realizar la verificaci\u00f3n.<\/p>\n Hay varias formas de hacerlo, una de estas es validando un formulario para esto usaremos la funci\u00f3n check_admin_referer()<\/strong>:<\/p>\n [\/et_pb_text][et_pb_code _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb] <\/code>[\/et_pb_code][et_pb_text _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n Esta como hemos visto es la funci\u00f3n general, en caso de querer hacer uso de ella para hacer una b\u00fasqueda en un formulario tendr\u00edamos que hacer uso de la siguiente funci\u00f3n:<\/p>\n [\/et_pb_text][et_pb_code _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb] <\/code>[\/et_pb_code][et_pb_text _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n Tambi\u00e9n tenemos otros m\u00e9todos, pero estos ya son un poco m\u00e1s complejos que agregan condicionales a nuestro c\u00f3digo a esto nos permitir\u00e1 crear situaciones m\u00e1s reales donde en caso de no tener acceso a esta funci\u00f3n mostrar a\u00fan mensaje no autorizado.<\/p>\n [\/et_pb_text][et_pb_code _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb] <\/code>[\/et_pb_code][et_pb_text _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n Como hemos podido ver en puntos antes el nonce<\/strong> tiene una validaci\u00f3n o duraci\u00f3n principal de 24 horas para los CMS<\/a> WordPress, sin embargo, es posible modificar este periodo haciendo un llamado a la funci\u00f3n nonce_life<\/strong>. Esta funci\u00f3n nos permitir\u00e1 asignar de forma manual la cantidad de horas que se mantendr\u00e1 activo.<\/p>\n [\/et_pb_text][et_pb_code _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb] <\/code>[\/et_pb_code][et_pb_text _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n Al trabajar con nonces<\/strong> en WordPress, es probable que nos encontremos con situaciones donde el nonce<\/strong> no se verifica de forma correcta. Esto puede deberse a varias razones, como la expiraci\u00f3n del nonce<\/strong> o intentos maliciosos de acceso. Si bien esto puede provocar algunos errores a nivel de nuestro sistema es bueno tener alg\u00fan respaldo.<\/p>\n Esto nos ayudar\u00e1 a mantener un orden en nuestro sitio, si algo sucede en \u00e9l, lo mejor es tener un respaldo, ya sea por medio de cualquier plugin de seguridad en WordPress<\/a> o nuestro superbackup<\/a>.<\/p>\n El manejo adecuado de errores no solo mejora la experiencia del usuario, sino que tambi\u00e9n fortalece la seguridad de nuestro sitio web. Al estar preparado y responder de forma adecuada a los errores de nonce<\/strong>, garantizamos que nuestro sitio WordPress sea tanto amigable para el usuario como robusto en t\u00e9rminos de seguridad.<\/p>\n [\/et_pb_text][et_pb_text _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n Adentrarse en el mundo de WordPress puede parecer una tarea dif\u00edcil, en especial cuando nos encontramos con t\u00e9rminos t\u00e9cnicos y funcionalidades que no son claras. Sin embargo, comprender elementos como los nonces<\/strong> es esencial para cualquier administrador de sitio web que busque garantizar la integridad y seguridad de su plataforma.<\/p>\n Estos peque\u00f1os tokens, los nonces<\/strong>, pueden parecer insignificantes a primera vista, pero en realidad son guardianes silenciosos que protegen nuestro sitio de acciones no autorizadas y ataques maliciosos.<\/p>\n A medida que el mundo digital se vuelve m\u00e1s complejo y las amenazas cibern\u00e9ticas contin\u00faan evolucionando, es imperativo que tomemos todas las precauciones necesarias para proteger nuestros activos en l\u00ednea. Los nonces<\/strong> son una de esas herramientas que, aunque sutiles, tienen un impacto significativo en la seguridad de WordPress. Al aprender a usarlos de forma correcta, no solo estamos blindando nuestro sitio, sino que tambi\u00e9n estamos garantizando que los visitantes tengan una experiencia fluida y sin problemas.<\/p>\n Sin contar que, la implementaci\u00f3n adecuada de nonces<\/strong> refleja un nivel de profesionalismo y cuidado hacia nuestra web y los usuarios. Es una se\u00f1al de que est\u00e1s comprometido con la excelencia y la seguridad en todos los aspectos de tu plataforma. Cada detalle cuenta, y la seguridad nunca debe ser una reflexi\u00f3n posterior. \u00a1Equipa tu sitio con el conocimiento y las herramientas adecuadas, y observa c\u00f3mo florece en un entorno en l\u00ednea seguro y confiable!<\/strong><\/p>\n [\/et_pb_text][et_pb_text _builder_version=\u00bb4.21.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n Tambi\u00e9n te puede interesar:<\/p>\n <\/p>\n [\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section]<\/p>\n","protected":false},"excerpt":{"rendered":" En lo que respecta al mundo del desarrollo web, la seguridad siempre ha sido un pilar fundamental. Y cuando hablamos de WordPress, una plataforma que alimenta a m\u00e1s del 30% de los sitios web en todo el mundo, la importancia de mantener nuestros datos y contenidos seguros se magnifica a\u00fan m\u00e1s. Aqu\u00ed es donde entran […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"on","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/pruebasweb.argenispaz.com\/index.php\/wp-json\/wp\/v2\/posts\/2814"}],"collection":[{"href":"https:\/\/pruebasweb.argenispaz.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pruebasweb.argenispaz.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pruebasweb.argenispaz.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/pruebasweb.argenispaz.com\/index.php\/wp-json\/wp\/v2\/comments?post=2814"}],"version-history":[{"count":31,"href":"https:\/\/pruebasweb.argenispaz.com\/index.php\/wp-json\/wp\/v2\/posts\/2814\/revisions"}],"predecessor-version":[{"id":2852,"href":"https:\/\/pruebasweb.argenispaz.com\/index.php\/wp-json\/wp\/v2\/posts\/2814\/revisions\/2852"}],"wp:attachment":[{"href":"https:\/\/pruebasweb.argenispaz.com\/index.php\/wp-json\/wp\/v2\/media?parent=2814"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pruebasweb.argenispaz.com\/index.php\/wp-json\/wp\/v2\/categories?post=2814"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pruebasweb.argenispaz.com\/index.php\/wp-json\/wp\/v2\/tags?post=2814"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\u00bfQu\u00e9 son los nonces de WordPress?<\/h2>\n
Para qu\u00e9 sirven los nonces de WordPress<\/h2>\n
\n
\u00bfC\u00f3mo a\u00f1adir nonces de WordPress?<\/h2>\n
Creaci\u00f3n de un nonce<\/h3>\n
<\/p>\n$mi_nonce = wp_create_nonce('mi_accion_nonce');<\/pre>\n<\/p>\n$laurlcompleta = wp_nonce_url( $urlparaescanear, 'borrar-entrada_'.$post->ID );<\/pre>\n
Incorporar el nonce en formularios o URLs<\/h3>\n
<\/p>\nwp_nonce_field( $accion_de_usuario, $nombre_del_nonce);<\/pre>\n
\n
<\/p>\nwp_nonce_field( 'borrar-comentario_'.$comment_id , \u2018nonce_del_formulario\u2019);<\/pre>\n
<input type=\u00bbhidden\u00bb name=\u00bb_wp_http_referer\u00bb value=\u00bb\/wp-admin\/edit-comments.php\u00bb ><\/p>\nVerificar un nonce ya creado<\/h3>\n
<\/p>\ncheck_admin_referer($action, $nonce);<\/pre>\n
<\/p>\ncheck_admin_referer( 'borrar-comentario_'.$comment_id, ' nonce_del_formulario\u2019);<\/pre>\n
<\/p>\nif (!wp_verify_nonce($_REQUEST['nombre_del_nonce'], 'mi_accion_nonce')) { die('\u00a1Acceso no autorizado!');}<\/pre>\nEstablecer un tiempo de vida para el nonce<\/h3>\n
<\/p>\nadd_filter('nonce_life', function() { return 12 * HOUR_IN_SECONDS; \/\/ Establece la duraci\u00f3n del nonce a 12 horas.});<\/pre>\nManejo de errores<\/h3>\n
Conclusiones<\/h2>\n
\n