WordPress でセキュリティを考える時に大事なのは文字列のエスケープです。ただ、エスケープの関数だけでもかなりの数がありややこしいので、よく使うものをまとめてみました。 前提知識 the_* 関数と get_* 関数の違い 基本的に the_ 関数は get_ 関数を echo しているだけですが、一部の関数ではエスケープされて出力されています。 ですので安全面を考えると、echo get_ は極力使わず、可能な限り the_ 関数を使うのが望ましいです。 the_ 関数を使えばエスケープは必要ありません (既にエスケープされているため)。 翻訳可能文字列 WordPress テーマを公式ディレクトリにアップロードする際には、すべての文字列が翻訳可能文字列になっていることが必須になっています。 基本的に翻訳可能な文字列は、__( 'example', 'slug' ) もしくは _e

きたる WordPress (おそらく) 5.0 で予定されている Gutenberg 新エディタですが、これに伴ってギャラリーも新しいものになるっぽいので検証してみました。 ただこれはあくまで今のプラグインとして公開されている Gutenberg プラグイン上でのテストであり、正式に WordPress に投入されるものとは違うものになる可能性は十分にありえます。 いままでとの違い 今までのギャラリーは [sqst]gallery] ショートコードを使って出力されていました。例えば [sqst]gallery columns="4" ids="1691,1687,811,771"] のように カラム数・画像のナンバーを引数として渡して出力する、という形のものです。 ですが、Gutenberg エディタの機能によって生成されるギャラリーはショートコードが使われておらず、生の HTML とし

公式ディレクトリ掲載のテーマ等、英語ベースで開発しているテーマで気になってくるのは時間フォーマットです。 英語圏では 日→月→年 の順番で表示するのが基本ですが、日本語でそうなっているとかなり違和感があります。 pot ファイルを使うことにより、その問題を解決することが出来ましたのでご紹介です。 the_time() 関数の引数を翻訳可能文字列として保存するだけです。 例 <?php the_time( __( 'jS F, Y', 'theme_slug' ) ); ?> これは実際に私の開発した Coldbox テーマで使っているものです。the_time 関数は引数として時間フォーマットを指定できるので、その文字列を翻訳可能にしてしまいます。 その上で ja.po ファイルでこの文字列を "Y年 m月 j日" のように保存すると、引数にその文字列が代入され、そのフォーマットで出力され

テーマカスタマイザーをいじっていると自分でスタイルを変更させたいときが出てきます。 そこで使えるのが、customize_controls_enqueue_scripts というフックです。このフックを使用するとカスタマイザー専用の CSS / JS ファイルを読み込むことが出来ます。 使い方 使い方は wp_enqueue_scripts とほぼ一緒です。 例 function czr_style() { wp_enqueue_style( 'czr-style', get_template_directory_uri().'/czr/czr-style.css' ); } add_action( 'customize_controls_enqueue_scripts', 'czr_style' ); ただ wp_enqueue_scripts が customize_controls_

特定のカスタマイザーコントロールに基づくラベルや説明 以外 の HTML をカスタマイザーに追加する方法の紹介です。改行、画像、ボタンまたは見出しなんかを追加できます。 現在 WordPress のネイティブ機能として実装することは出来ませんが、カスタムコントロールを使用して実装することが可能です。 この記事は WP Theming で公開された Customizer Control: Arbitrary HTML の翻訳記事です。執筆者の許可を得た上で翻訳、公開しています。 カスタムコントロール 任意の HTML を表示させる為のカスタムコントロールはものの数行で実装できます。ラベルと説明が要らなければさらに短縮することも可能です。 if ( class_exists( 'WP_Customize_Control' ) && ! class_exists( 'cd_Custom_Cont

テーマを WordPress の公式ディレクトリに掲載させるためにはカスタマイザーのサニタイズが必須になります。 このチェック項目は Theme Check プラグインに組み込まれていて、全部正しくサニタイズがなされていないとテーマのアップロードすら出来ません。 必須: サニタイゼーションコールバック関数を使っていないカスタマイザー設定があります。add_setting() メソッドへのコールはすべてサニタイゼーションコールバック関数を通す必要があります。 っていうエラーが出ます。 サニタイズの役割 サニタイズとは一種のバリデーションチェックのようなものです。WordPress カスタマイザーでは指定されたコントロールタイプに対してユーザーの入力したデータが正しいかを検証し、正しくない場合はそのデータを破棄させたり、値の中で無効な文字列を削除したりします。これによりセキュリティ問題やコード

今回は海外の WordPress 開発者コミュニティの間でよく聞くようになった Valet という開発環境について紹介ます。 Valet とはもともとは Laravel というフレームワークの開発環境で、ローカルマシン上に PHP7.0 + Nginx による開発環境を用意することができます。 https://laravel.com/docs/5.4/valet 対応している動作環境は Mac のみとなりますが、試してみたらあまりにも便利でびっくりしたのでご紹介します。 使い方 順序が逆ですが、Valet を使った開発環境の実際の使い方から説明します。と言ってもコマンド一発です。 $ wp valet new hello このようにコマンドを入力すると以下のように出力されます。 Don't go anywhere, this should only take a second... Suc

今回の記事では、WordPress のテーマ開発にしぼって、安全なテーマを開発するためのポイントについて説明します。 現在この記事の著者は、WordPress の公式テーマディレクトリのテーマレビューの自動化に取り組んでいて、実際のテーマレビューの経験もあります。 その経験をもとに、これがやられてないと確実に突きかえすでっていう内容を書いていきます。 想定読者 この記事が想定している読者は、WordPress のテーマを仕事でつくっているけど、プログラミングの知識があまりなくて自信がないという方です。 WordPress のテーマ開発で重要なのはとにかくエスケープすること 以下で紹介することを確実に守れば、みなさんが作るテーマに脆弱性がまぎれこむ可能性がとても低くなります。 意外と簡単なので、ぜひ覚えておくといいと思います。 the_* 関数を使う テーマの中で、タイトルや本文、その他なん