Poradnik zabezpieczania endpointów AJAX przed atakami

Ta funkcja tworzy nonce dla określonej akcji. Zwraca 10-znakowy ciąg znaków, który można następnie użyć w zapytaniach AJAX do weryfikacji autentyczności żądania.

Przykład użycia: $nonce = wp_create_nonce('my_ajax_action');

Ta funkcja generuje ukryte pole formularza HTML zawierające nonce. Jest szczególnie przydatna w tradycyjnych formularzach HTML, które są wysyłane przez POST.

Przykład użycia: wp_nonce_field('my_ajax_action', 'my_nonce_field');

Ta funkcja dodaje nonce do URL jako parametr GET. Jest przydatna dla linków wykonujących akcje, takich jak usuwanie czy aktywacja elementów.

Przykład użycia: $url = wp_nonce_url(admin_url('admin-ajax.php?action=my_action'), 'my_ajax_action');

Poniższy kod pokazuje, jak zarejestrować handler AJAX w WordPress z weryfikacją nonce. Najpierw rejestrujemy akcję dla zalogowanych i niezalogowanych użytkowników, a następnie w funkcji handlera sprawdzamy poprawność nonce przed wykonaniem jakiejkolwiek logiki.

Handler powinien zawierać:

• Rejestrację akcji przez add_action('wp_ajax_*', 'handler_function')
• Rejestrację akcji dla niezalogowanych przez add_action('wp_ajax_nopriv_*', 'handler_function')
• Weryfikację nonce za pomocą check_ajax_referer()
• Logikę biznesową wykonaną tylko po pomyślnej weryfikacji

Zaawansowana funkcja weryfikacji powinna zawierać wielowarstwowe kontrole:

• Sprawdzenie nonce: Weryfikacja, czy przesłany token nonce jest poprawny dla danej akcji
• Sprawdzenie uprawnień: Weryfikacja, czy użytkownik ma odpowiednie uprawnienia do wykonania akcji
• Sprawdzenie pochodzenia żądania: Weryfikacja, czy żądanie pochodzi z oczekiwanej domeny
• Zwracanie błędów: Używanie wp_send_json_error() z odpowiednimi kodami HTTP

Funkcja powinna zwracać true tylko jeśli wszystkie kontrole bezpieczeństwa przejdą pomyślnie.

Po stronie klienta, kod JavaScript powinien:

• Generować nonce: Używać PHP do wygenerowania nonce i przekazania go do JavaScript
• Dołączać nonce do żądania: Dodawać nonce jako parametr w danych AJAX
• Obsługiwać błędy: Przetwarzać odpowiedzi błędów z serwera i wyświetlać odpowiednie komunikaty
• Ustawiać nagłówki: Dodawać nagłówek X-Requested-With dla dodatkowej weryfikacji

Ważne jest, aby nonce był generowany dynamicznie dla każdej strony, a nie hardkodowany.

Handler AJAX powinien zawierać sprawdzanie uprawnień użytkownika:

• Weryfikacja nonce: Najpierw sprawdź poprawność tokena nonce
• Sprawdzenie uprawnień: Użyj current_user_can() do weryfikacji konkretnych uprawnień
• Zwracanie błędów: Zwróć błąd 403 Forbidden z odpowiednim komunikatem
• Kontynuacja logiki: Wykonaj akcję tylko dla uprawnionych użytkowników

Dla bardziej szczegółowej kontroli, możesz ograniczyć dostęp na podstawie ról użytkowników:

• Pobranie użytkownika: Użyj wp_get_current_user() do uzyskania danych użytkownika
• Definicja dozwolonych ról: Stwórz tablicę z dozwolonymi rolami
• Sprawdzenie przecięcia: Użyj array_intersect() do sprawdzenia, czy rola użytkownika jest dozwolona
• Odrzucenie nieautoryzowanych: Zwróć błąd dla użytkowników z niedozwolonymi rolami

Dla krytycznych endpointów możesz ograniczyć dostęp tylko z określonych adresów IP:

• Definicja dozwolonych IP: Stwórz tablicę z dozwolonymi adresami IP
• Pobranie IP klienta: Użyj $_SERVER['REMOTE_ADDR'] do uzyskania adresu IP
• Weryfikacja: Sprawdź, czy IP klienta znajduje się na liście dozwolonych
• Blokowanie: Zwróć błąd dla nieautoryzowanych adresów IP

Funkcja walidacji danych powinna zawierać:

• Walidację liczb całkowitych: Użyj intval() i sprawdź, czy wartość jest dodatnia
• Walidację tekstu: Użyj sanitize_text_field() i sprawdź, czy nie jest pusty
• Walidację emaila: Użyj sanitize_email() i is_email()
• Walidację URL: Użyj esc_url_raw() i filter_var() z FILTER_VALIDATE_URL
• Zwracanie błędów: Użyj wp_send_json_error() dla nieprawidłowych danych

Przygotowując odpowiedź AJAX, pamiętaj o:

• Walidacji danych wejściowych: Najpierw zweryfikuj wszystkie dane wejściowe
• Sanityzacji treści: Użyj wp_kses_post() dla treści HTML
• Escaping HTML: Użyj esc_html() dla zwykłego tekstu
• Escaping URL: Użyj esc_url() dla adresów URL
• Zwracaniu odpowiedzi: Użyj wp_send_json_success() z oczyszczonymi danymi

Dla złożonych struktur danych, implementuj zaawansowaną walidację:

• Walidację tablic: Sprawdź, czy dane są tablicą i zwaliduj każdy element
• Walidację JSON: Użyj json_decode() i sprawdź błędy parsowania
• Walidację dat: Użyj DateTime::createFromFormat() do weryfikacji formatu daty
• Walidację niestandardowych formatów: Implementuj wyrażenia regularne dla specyficznych formatów
• Zwracanie szczegółowych błędów: Podaj konkretne informacje o błędach walidacji

Prosta implementacja rate limiting powinna:

• Inicjalizować sesję: Sprawdzić, czy sesja AJAX istnieje, i utworzyć ją jeśli nie
• Definiować parametry: Ustawić okno czasowe (np. 60 sekund) i maksymalną liczbę zapytań
• Czyścić stare wpisy: Usunąć zapytania spoza okna czasowego
• Sprawdzać limit: Porównać liczbę zapytań z maksymalną dozwoloną
• Blokować: Zwrócić błąd 429 Too Many Requests jeśli limit został przekroczony
• Zapisywać zapytanie: Dodać bieżące zapytanie do sesji

Zaawansowany system rate limiting powinien zawierać:

• Tabelę bazy danych: Stworzyć tabelę do przechowywania zapytań z indeksami dla optymalnej wydajności
• Identyfikatory: Używać ID użytkownika i adresu IP do identyfikacji klientów
• Czyszczenie: Usuwać stare wpisy przed sprawdzeniem limitu
• Elastyczność: Umożliwiać różne limity dla różnych akcji
• Informacje o ponowieniu: Zwracać informację o czasie, po którym można ponowić próbę

Integracja rate limiting z handlerem AJAX:

• Weryfikacja nonce: Najpierw sprawdź poprawność tokena nonce
• Rate limiting: Wywołaj funkcję rate limiting z ID użytkownika i nazwą akcji
• Logika biznesowa: Wykonaj akcję tylko jeśli rate limiting na to pozwala
• Obsługa błędów: Przekaż błędy rate limiting do klienta

Sprawdzanie nagłówka Origin powinno:

• Pobrać nagłówek: Odczytać $_SERVER['HTTP_ORIGIN']
• Definiować dozwolone domeny: Stworzyć listę dozwolonych domen origin
• Weryfikować: Sprawdzić, czy origin znajduje się na liście dozwolonych
• Blokować: Zwrócić błąd 403 dla nieautoryzowanych origin

Sprawdzanie nagłówka Referer powinno:

• Pobrać nagłówek: Odczytać $_SERVER['HTTP_REFERER']
• Pobrać URL strony: Użyć site_url() do uzyskania bazowego URL
• Weryfikować: Sprawdzić, czy referer zaczyna się od URL strony
• Blokować: Zwrócić błąd dla nieprawidłowych referer

Konfiguracja ciasteczek z atrybutem SameSite:

• Polityka Strict: Najbardziej restrykcyjna, blokuje wszystkie ciasteczka w zapytaniach cross-site
• Polityka Lax: Mniej restrykcyjna, pozwala na niektóre zapytania cross-site
• Integracja z WordPress: Użycie hooka init do ustawienia ciasteczek
• Bezpieczeństwo: Dodanie atrybutu Secure dla połączeń HTTPS

Dla aplikacji jednostronicowych (SPA), implementuj zaawansowane tokeny CSRF:

• Generowanie tokena: Użyj bin2hex(random_bytes(32)) do stworzenia bezpiecznego tokena
• Przechowywanie w sesji: Zapisz token i czas wygenerowania w sesji
• Weryfikacja czasu: Sprawdź, czy token nie wygasł (np. po 1 godzinie)
• Bezpieczne porównanie: Użyj hash_equals() do porównania tokenów
• Czyszczenie: Usuń token po użyciu lub wygaśnięciu

System logowania zapytań AJAX powinien:

• Zbierać metadane: Zapisywać timestamp, ID użytkownika, adres IP, user agent
• Logować dane żądania: Zapisywać akcję i dane przesłane w żądaniu
• Logować nagłówki: Zapisywać referer i origin żądania
• Zapisywać w pliku: Używać file_put_contents() z flagą FILE_APPEND i LOCK_EX
• Zapisywać w bazie: Używać tabeli bazy danych do strukturyzowanego przechowywania logów
• Hooki WordPress: Używać wp_ajax_before i wp_ajax_nopriv_before

System wykrywania anomalii powinien:

• Monitorować częstotliwość: Sprawdzać liczbę zapytań z jednego IP w krótkim czasie
• Wykrywać nietypowe akcje: Identyfikować podejrzane nazwy akcji AJAX
• Logować anomalie: Zapisywać podejrzaną aktywność do logów systemowych
• Reagować automatycznie: Opcjonalnie blokować adresy IP po przekroczeniu progów
• Integrować z WordPressem: Używać hooków do automatycznego wykrywania

System alertów bezpieczeństwa powinien:

• Definiować progi: Ustawić limity nieudanych prób przed wysłaniem alertu
• Używać transientów: Zapisywać licznik prób w transientach WordPress
• Wysyłać emaile: Używać wp_mail() do powiadamiania administratora
• Unikać spamu: Używać transientów do zapobiegania wielokrotnym alertom
• Zbierać kontekst: Dołączać szczegółowe informacje o incydencie