Partire da zero: padroneggiare i processi fondamentali dello sviluppo di plugin per WordPress e le pratiche di sicurezza

Ambiente e preparazioni di base per lo sviluppo di plugin per WordPress

Prima di iniziare a scrivere la prima riga di codice, è fondamentale creare un ambiente di sviluppo appropriato. Non tutti gli ambienti di sviluppo sono adatti alla creazione di plugin per WordPress; un ambiente locale il più possibile simile all’ambiente di produzione può ridurre al minimo i problemi di compatibilità futuri. Si consiglia l’uso di ambienti integrati come XAMPP, MAMP o Docker, che includono già Apache, MySQL e PHP, semplificando notevolmente il processo di configurazione.

Lo strumento principale per lo sviluppo è un editor di codice efficiente o un ambiente di sviluppo integrato (IDE), come Visual Studio Code, PhpStorm o Sublime Text. Questi strumenti non solo offrono evidenziazione del codice e suggerimenti automatici, ma supportano anche le librerie di funzioni specifiche di WordPress tramite plugin, migliorando notevolmente l’efficienza della codifica.

Successivamente, avrai bisogno di un’istanza di WordPress installata per i test. Visita il sito WordPress.org per scaricare la versione più recente di WordPress e distribuila sul tuo server locale. Dopo l’installazione, ti consigliamo di accedere alle impostazioni del pannello di amministrazione, selezionare “Impostazioni” -> “Permalinks” e modificare la struttura dei link in una forma non predefinita (ad esempio, basata sul nome dell’articolo). Questo aiuterà a testare il funzionamento del plugin in diverse strutture di URL, garantendo così la robustezza delle sue funzionalità.

Si consiglia di leggere Partire da zero: una guida passo dopo passo per creare temi WordPress di livello professionale。

Conoscere la struttura del catalogo dei plugin di WordPress è fondamentale. Tutti i plugin personalizzati vengono archiviati in una specifica directory all’interno del sistema di WordPress./wp-content/plugins/All’interno del directory, ogni plugin dispone di una cartella separata. Il nome di questa cartella deve essere chiaro e univoco, al fine di evitare conflitti con altri plugin esistenti. All’interno di questa cartella è presente almeno un file PHP principale; il nome di questo file corrisponde solitamente al nome della cartella stessa. Ad esempio, se il nome della cartella del plugin è “my-plugin”, il nome del file PHP principale sarà “my-plugin.php”.my-first-pluginIl file principale dovrebbe essere…my-first-plugin.phpAll’inizio di questo file principale devono essere presenti le note di informazione standard relative al plugin: queste rappresentano il “certificato di identità” necessario per che WordPress riconosca il plugin stesso.

UltaHost – Hosting per siti WordPress

Garanzia di rimborso entro 30 giorni, larghezza di banda illimitata e accesso ai database, protezione gratuita contro gli attacchi DDoS; sconto del 50% per l’acquisto di un piano valido per 3 anni (da 3 a 4 TB di spazio di archiviazione).

pagina di accesso

Una volta acquisite queste conoscenze di base, sarai pronto per passare alla fase effettiva di programmazione.

Crea il tuo primo plugin per WordPress.

Pratichiamo l’intero processo creando un semplice plugin “Hello World”. La funzione di questo plugin è quella di aggiungere automaticamente un messaggio di benvenuto personalizzato sotto il contenuto degli articoli del sito web.

Prima di tutto, sul tuo sito WordPress locale…/wp-content/plugins/All’interno della directory, creare un file chiamato…hello-world-greetingCrea una nuova cartella. Successivamente, all’interno di quella cartella, crea il file PHP principale.hello-world-greeting.php。

Per aprire questo file principale, dobbiamo prima inserire le informazioni relative alla parte iniziale del plugin (il cosiddetto “header”). Queste informazioni commentate sono di fondamentale importanza: descrivono le caratteristiche di base del plugin e comunicano a WordPress che si tratta di un plugin valido.

Si consiglia di leggere Guida completa allo sviluppo di plugin per WordPress: dall’approccio base all’avanzato。

<?php
/**
 * Plugin Name:  Hello World Greeting
 * Plugin URI:   https://www.yourwebsite.com/hello-world-greeting
 * Description:  一个简单的插件，用于在文章内容后添加问候语。
 * Version:      1.0.0
 * Author:       你的名字
 * License:      GPL v2 or later
 * Text Domain:  hello-world-greeting
 */

Per implementare la funzionalità principale, dobbiamo utilizzare i “filter” di WordPress. I filter consentono di modificare i dati specifici (ad esempio, il contenuto degli articoli) prima che vengano visualizzati o salvati nel database. Il filtro che utilizzeremo è…the_contentIl “gancio” (hook) è utilizzato esclusivamente per filtrare il contenuto degli articoli.

Sotto le informazioni relative alla testa del plugin, aggiungi le seguenti funzioni e hook:

/**
 * 在文章内容末尾添加问候语
 *
 * @param string $content 原始的文章内容。
 * @return string 修改后的文章内容。
 */
function hwg_add_greeting_to_content( $content ) {
    // 确保只在主循环的单篇文章页面添加
    if ( is_single() && in_the_loop() && is_main_query() ) {
        $greeting = '<p style="color: #0073aa; font-style: italic;">Grazie per la lettura! Vi invitiamo a visitare il nostro sito web per scoprire ulteriori informazioni.</p>';
        $content .= $greeting;
    }
    return $content;
}
// 将我们的函数挂载到‘the_content’过滤器上
add_filter( 'the_content', 'hwg_add_greeting_to_content' );

Dopo aver salvato il file, accedi al pannello di amministrazione di WordPress e vai alla pagina “Aggiornamenti” (Plugins). Dovresti vedere un nuovo plugin chiamato “Hello World Greeting”. Fai clic su “Attiva” (Enable) e poi visita un articolo del sito: noterai che alla fine del contenuto dell’articolo è stato aggiunto con successo il saluto predefinito.

hosting.com Hosting condiviso

Prestazioni elevate con CPU AMD EPYC, storage SSD NVMe e LiteSpeed, supporto interno di esperti 24 ore su 24, 7 giorni su 7, misure di sicurezza avanzate, tra cui SSL, brute force, malware e protezione DDoS, risparmi fino a 73%

pagina di accesso

Questo semplice esempio mostra il flusso di base dello sviluppo di plugin: creare directory e file -> scrivere le informazioni di intestazione del plugin -> scrivere le funzioni di funzionalità -> successivamente…add_filter或add_actionMontare una funzione sui “hook” di WordPress. Successivamente, impareremo come rendere i plugin più facili da gestire e internazionalizzare.

Architetture avanzate e migliori pratiche nello sviluppo di plugin

Man mano che le funzionalità di un plugin diventano più complesse, un’ottima architettura del codice diventa fondamentale per garantire la manutenibilità e l’espandibilità dello stesso. Un plugin di livello avanzato dovrebbe seguire i principi della modularità.

La classe principale che rappresenta le funzionalità fondamentali dell’estensione rappresenta un ottimo punto di partenza. Si consiglia di creare una tale classe per incapsulare la logica essenziale dell’estensione, in modo da evitare conflitti tra i nomi delle funzioni e quelli di temi o altre estensioni, nonché per organizzare meglio il codice. Ad esempio, potresti creare una classe chiamata…Hello_World_Greeting_PluginLa classe in questione, e all’interno di essa…__constructInizializza tutti gli hook nel costruttore.

Si consiglia di leggere Guida all’approccio di base allo sviluppo di plugin per WordPress: crea il tuo primo plugin da zero。

class Hello_World_Greeting_Plugin {
    public function __construct() {
        add_action( 'init', array( $this, 'load_textdomain' ) );
        add_filter( 'the_content', array( $this, 'add_greeting' ) );
        add_action( 'admin_menu', array( $this, 'add_admin_menu' ) );
    }

public function load_textdomain() {
        load_plugin_textdomain( 'hello-world-greeting', false, dirname( plugin_basename( __FILE__ ) ) . '/languages/' );
    }

public function add_greeting( $content ) {
        // ... 功能代码 ...
    }

public function add_admin_menu() {
        // 添加后台菜单项
    }
}
// 实例化插件类
new Hello_World_Greeting_Plugin();

Per i plugin che richiedono configurazioni da parte dell’utente, creare una pagina di impostazioni in backend è la prassi standard. Questo solitamente implica l’utilizzo delle funzionalità offerte da WordPress.add_options_page或add_menu_pageAggiungi voci al menu per le funzioni desiderate, e utilizza l’API delle Impostazioni (Settings API) per registrare, verificare e salvare le opzioni in modo sicuro.register_setting、add_settings_section和add_settings_fieldFunzioni come queste permettono di creare moduli di configurazione sicuri in linea con lo stile del backend di WordPress.

Inoltre, il plugin dovrebbe contenere la logica necessaria per l’installazione e il disinstallazione. Quando l’utente elimina il plugin, è necessario eliminare i dati creati da esso (ad esempio, le opzioni presenti nei moduli, le tabelle del database personalizzate). Questo viene realizzato registrando un “hook” di disinstallazione nel file principale del plugin. È possibile creare un file dedicato alla disinstallazione oppure utilizzare tale funzionalità direttamente nel file principale.register_uninstall_hookFunzione.

Hosting condiviso InterServer

Hosting condiviso $2,50 USD al mese, primo mese $0,1 USD codice promozionale tryinterserver, 461 script di applicazioni cloud, installazione con un clic.

pagina di accesso

register_uninstall_hook( __FILE__, 'hwg_plugin_uninstall' );
function hwg_plugin_uninstall() {
    delete_option( 'hwg_greeting_text' ); // 删除保存的选项
}

Punti chiave per garantire la sicurezza e le prestazioni dei plugin

La sicurezza rappresenta l’elemento fondamentale nello sviluppo di plugin. Un plugin non sicuro non solo può mettere a rischio il proprio sito web, ma può anche influenzare altri siti presenti sul server. Il principio fondamentale da seguire è: non fidarsi mai degli input forniti dagli utenti. Tutti i dati provenienti dagli utenti o da fonti esterne devono essere trattati con attenzione e con la massima cautela.$_GET、$_POST、$_COOKIEPrima di essere visualizzati, memorizzati o utilizzati per interrogazioni sui database, i dati devono essere verificati, puliti ed escapati.

Quando si visualizzano i dati, è necessario utilizzare le funzioni di escape appropriate. Ad esempio, per l’output nel corpo di un documento HTML, è necessario…esc_htmlPer gli attributi da inserire nell’HTML, utilizzare…esc_attrPer l’output verso un URL, utilizzare…esc_urlQuando i dati devono essere memorizzati in un database, è necessario utilizzare…wpdbclass-basedprepareEsistono metodi per elaborare le query SQL in modo sicuro, il che permette di prevenire efficacemente gli attacchi di iniezione SQL.

Il meccanismo di sicurezza “Nonce” dovrebbe essere implementato all’interno dei plugin. WordPress fornisce un’API potente chiamata “Nonce API” (acronimo di “Number used once”), in grado di generare un token unico e temporaneo per operazioni specifiche (come l’invio di moduli o le richieste AJAX). Questo token viene utilizzato per verificare la legittimità delle richieste e prevenire attacchi di tipo Cross-Site Request Forgery (CSRF).

Per quanto riguarda le prestazioni, è necessario utilizzare WordPress con cautela.add_action和add_filterGanci: Monta le funzioni sui ganci soltanto quando è necessario, e assicurati di disattivarle quando non sono più utilizzate (ad esempio, nel metodo di disattivazione del plugin).remove_action和remove_filterEseguire la rimozione per evitare l’esecuzione di codice non necessario.

Per i risultati di query al database che richiedono molto tempo, si dovrebbe considerare l’uso dell’API Transients di WordPress per il caching. L’API Transients è un semplice sistema di archiviazione di coppie chiave-valore con scadenza temporale; consente di memorizzare i risultati di query complesse per diverse ore o addirittura giorni, riducendo notevolmente il carico sul database. Ad esempio:

$cached_data = get_transient( 'my_plugin_expensive_query_result' );
if ( false === $cached_data ) {
    $cached_data = $wpdb->get_results( "SELECT ... FROM ..." ); // 复杂查询
    set_transient( 'my_plugin_expensive_query_result', $cached_data, HOUR_IN_SECONDS * 12 ); // 缓存12小时
}
// 使用 $cached_data

Riassumendo

Lo sviluppo di plugin per WordPress rappresenta un progetto sistematico: dalla configurazione dell’ambiente di sviluppo, alla codifica di base, fino alla progettazione dell’architettura del plugin stesso, nonché all’ottimizzazione della sicurezza e delle prestazioni. Ogni passaggio è di fondamentale importanza. Iniziando con semplici esempi pratici (come il codice “Hello World”), è possibile comprendere rapidamente i modi in cui i plugin interagiscono con il nucleo di WordPress. Man mano che le proprie competenze migliorano, l’adozione di un’architettura modulare orientata agli oggetti, unita al rispetto rigoroso delle norme di codifica sicura, diventa essenziale per sviluppare plugin di alta qualità e affidabilità. Ricorda: un plugin di successo non si caratterizza soltanto per le sue funzionalità avanzate, ma anche per la sua sicurezza, la sua facilità di manutenzione e il suo impatto positivo sulle prestazioni del sito web nel suo complesso.

FAQ - Domande frequenti

Per sviluppare un plugin per WordPress con il codice “###”, quali conoscenze di linguaggi di programmazione sono necessarie?
Per sviluppare plugin per WordPress è necessario padroneggiare principalmente il linguaggio PHP, poiché il core di WordPress è scritto in PHP. Inoltre, è fondamentale avere una conoscenza di base di HTML, CSS e JavaScript per creare l’interfaccia grafica e la logica di interazione del plugin. Per le funzionalità più complesse che richiedono l’interazione con il database, è necessaria anche una conoscenza di base di SQL.

Come posso aggiungere una pagina di configurazione per il mio plugin dal pannello di amministrazione?

Per aggiungere una pagina di configurazione per il plugin, si consiglia di utilizzare l’API Settings ufficiale di WordPress: è il metodo più sicuro e conforme alle normative. Per iniziare, utilizzate…add_options_page或add_menu_pageLa funzione crea una pagina nel menu di back-end. Successivamente, all’interno della funzione di callback di quella pagina, viene utilizzato…register_settingRegistra un gruppo di opzioni di configurazione e utilizzalo…add_settings_section和add_settings_fieldDefiniamo quindi l’area di configurazione e i campi specifici. Infine, li chiamiamo (li utilizziamo) all’interno della pagina.settings_fields和do_settings_sectionsUna funzione per visualizzare il modulo di configurazione una volta che è stato compilato e salvato.

Perché il mio plugin, una volta attivato, causa il blocco dello schermo del sito web (ovvero lo schermo diventa bianco e non mostra nulla)?

Il problema del “white screen” sul sito web è solitamente causato da un errore fatale (Fatal Error) in PHP; inoltre, il modo di debug di WordPress (WP_DEBUG) è disattivato per impostazione predefinita, il che nasconde i messaggi di errore. Prima di tutto, ti consiglio di attivare il modo di debug di WordPress per visualizzare i dettagli degli errori. Per farlo, segui questi passaggi:wp-config.phpNel documento, verrà indicato che...WP_DEBUGI valori delle costanti vengono impostati come…truePer visualizzare informazioni dettagliate sugli errori sulla pagina, è necessario analizzare il codice sorgente. Le cause più comuni includono: errori di sintassi, chiamate a funzioni o classi non definite, o conflitti tra i nomi delle funzioni/classi con quelli di temi o altri plugin. L’utilizzo di classi per incapsulare le funzionalità dei plugin, insieme al rispetto delle regole di denominazione (come gli spazi dei nomi o l’uso di prefissi), rappresenta un metodo efficace per evitare tali conflitti.

Come posso rendere il mio plugin compatibile con più lingue (internazionalizzazione)?

Per rendere i plugin compatibili con più lingue, ovvero per implementare la funzionalità di internazionalizzazione (i18n) e localizzazione (l10n), si fa affidamento principalmente sulle funzioni di traduzione fornite da WordPress..po/.moPer la traduzione dei file, nel codice del plugin tutte le stringhe da tradurre devono essere evidenziate in modo appropriato.__()、_e()或_x()Avvolgere le funzioni pertinenti in un’apposita struttura e specificare il “Text Domain”; tale dominio deve essere coerente con quello definito nelle informazioni relative alla testata del plugin. Successivamente, utilizzare uno strumento come Poedit per analizzare il codice sorgente del plugin e generare i file necessari..potI file di template permettono ai traduttori di creare i contenuti nella lingua desiderata.zh_CN.poInfine, durante l’inizializzazione del plugin, utilizzare…load_plugin_textdomain()Una funzione per caricare i file di traduzione.