Từ 0 đến 1: Hướng dẫn toàn diện về phát triển plugin WordPress kèm theo các ví dụ thực tế

Tại sao cần phải phát triển các plugin cho WordPress?

WordPress sở hữu những tính năng cốt lõi mạnh mẽ, nhưng trước những yêu cầu kinh doanh đa dạng và thường xuyên thay đổi, các tính năng có sẵn thường khó có thể đáp ứng đầy đủ. Việc phát triển các plugin tùy chỉnh cho phép bạn bổ sung những chức năng độc đáo cho trang web mà không cần phải sửa đổi các tệp cốt lõi của WordPress, từ đó đảm bảo tính ổn định và khả năng nâng cấp cho trang web. Dù bạn cần tạo một biểu mẫu liên hệ đơn giản, một hệ thống trình bày sản phẩm phức tạp, hay một công cụ tích hợp với API của bên thứ ba, plugin luôn là phương thức thực hiện linh hoạt và chuẩn nhất.

Bằng cách phát triển các plugin, bạn có thể chia nhỏ các chức năng thành các đơn vị riêng biệt, giúp việc tái sử dụng và phân phối chúng giữa các trang web trở nên dễ dàng hơn. Điều này không chỉ nâng cao hiệu quả phát triển mà còn là một phương pháp tuyệt vời để hiểu sâu hơn về cấu trúc của WordPress và ngôn ngữ lập trình PHP. Việc nắm vững kỹ năng phát triển plugin có nghĩa là bạn có thể biến bất kỳ ý tưởng nào thành những chức năng thực tế trên trang web.

Xây dựng plugin WordPress đầu tiên của bạn

Để tạo một plugin cho WordPress, bạn bắt đầu bằng cách tạo một thư mục đơn giản và một tệp chính (main file) bên trong thư mục đó. Tất cả các thành phần của plugin sẽ được lưu trữ trong thư mục này./wp-content/plugins/thư mục chính xác.

Đọc thêm Hướng dẫn cơ bản về phát triển theme WordPress: Tạo theme tùy chỉnh từ con số không。

Tạo tệp chính của plugin

Tệp chính của plugin chính là “trái tim” của plugin đó; nó chứa đựng các thông tin metadata (metadata) liên quan đến plugin. Trước hết,/wp-content/plugins/ví dụmy-first-pluginSau đó, hãy tạo tập tin PHP chính bên trong thư mục đó; tên của tập tin này thường trùng với tên của thư mục đó.my-first-plugin.php。

UltaHost – Nhà cung cấp dịch vụ máy chủ WordPress chuyên nghiệp

Bảo đảm hoàn tiền trong 30 ngày, băng thông và cơ sở dữ liệu không giới hạn, bảo vệ DDoS miễn phí, mua 3 năm ưu đãi 50%

Truy cập trang

Ở phần đầu của tệp chính này, bạn cần thêm một đoạn ghi chú tiêu chuẩn về plugin, để mô tả plugin của mình cho WordPress. Điều này rất quan trọng để WordPress có thể nhận diện plugin và hiển thị nó trên giao diện quản trị nền tảng.

<?php
/**
 * Plugin Name:       我的第一个插件
 * Plugin URI:        https://example.com/my-first-plugin
 * Description:       这是一个用于学习WordPress插件开发的示例插件。
 * Version:           1.0.0
 * Author:            你的名字
 * Author URI:        https://example.com
 * License:           GPL v2 or later
 * Text Domain:       my-first-plugin
 */

Sau khi lưu file, hãy đăng nhập vào backend của WordPress và truy cập trang “Plugins” (Các tiện ích mở rộng). Bạn sẽ thấy “My First Plugin” xuất hiện trong danh sách các tiện ích mở rộng. Hãy kích hoạt nó. Mặc dù nó vẫn chưa có bất kỳ chức năng nào, nhưng khung công cụ cho tiện ích mở rộng đầu tiên của bạn đã được thiết lập xong.

Thêm các chức năng cơ bản cho plugin.

Một plugin không có chức năng nào cả thì thật vô nghĩa. Hãy cùng thêm cho nó một chức năng đơn giản: hiển thị một dòng văn bản tùy chỉnh ở phần chân trang (footer) của trang web. Điều này sẽ yêu cầu sử dụng cơ chế “Hook” trong WordPress.

Chúng ta có thể sử dụng nó.wp_footerĐây là hook hành động (action hook), nằm trong tệp chính của plugin.my-first-plugin.phpDưới phần chú thích ở đầu (header comment), hãy thêm đoạn mã sau:

Đọc thêm Làm thế nào để lựa chọn và phát triển plugin WordPress chất lượng cao: Hướng dẫn từ cơ bản đến nâng cao。

// 在网站页脚输出自定义文本
function my_first_plugin_add_footer_text() {
    echo '<p style="text-align: center; color: #666;">Cảm ơn bạn đã sử dụng plugin WordPress đầu tiên của tôi!</p>';
}
add_action( 'wp_footer', 'my_first_plugin_add_footer_text' );

Sau khi lưu tệp tin, hãy làm mới trang web của bạn, cuộn xuống phía dưới trang và bạn sẽ thấy đoạn văn bản vừa được thêm vào. Thông qua ví dụ đơn giản này, bạn đã thực hành được mô hình cốt lõi của việc phát triển plugin: định nghĩa các hàm, sau đó sử dụng chúng để thực hiện các chức năng cụ thể.add_action()或add_filter()Hãy gắn nó vào một hook cụ thể của WordPress.

Hiểu rõ cơ chế cốt lõi của các plugin WordPress: Hook và Filter

Sự linh hoạt và khả năng mở rộng của WordPress phần lớn là nhờ vào hệ thống “Hook” của nó. Hệ thống Hook cho phép các nhà phát triển chèn thêm đoạn mã của mình vào những thời điểm cụ thể trong quá trình thực thi mã nguồn chính của WordPress. Hook chủ yếu được chia thành hai loại: Actions và Filters.

Action hooks được sử dụng để thực thi đoạn mã của bạn khi một sự kiện cụ thể xảy ra, chẳng hạn như khi bài viết được đăng lên hoặc khi phần chân trang (footer) được tải. Chúng không yêu cầu trả về giá trị nào, và chủ yếu được thiết kế để thực hiện một thao tác cụ thể. Chúng ta đã sử dụng chúwp_footerchính là một hook hành động.

Hosting.com - lưu trữ chia sẻ

Hiệu năng cao, được trang bị CPU AMD EPYC, lưu trữ SSD NVMe và LiteSpeed, hỗ trợ chuyên gia nội bộ 24 giờ/ngày, các biện pháp bảo mật tiên tiến bao gồm SSL, chống brute force, phần mềm độc hại và bảo vệ DDoS, tiết kiệm tới 73%.

Truy cập trang

Các hook của bộ lọc (filter hooks) được sử dụng để thay đổi dữ liệu. Chúng cho phép bạn chỉnh sửa dữ liệu trước khi nó được sử dụng (chẳng hạn như lưu vào cơ sở dữ liệu hoặc hiển thị trên trình duyệt). Hàm lọc (filter function) sẽ nhận một giá trị và phải trả về giá trị đã được sửa đổi.

Sử dụng các hook hành động (action hooks) để thêm menu quản lý.

Một plugin có chức năng đầy đủ thường cần thêm trang menu riêng của nó vào thanh bên cạnh của giao diện quản trị WordPress. Điều này có thể được thực hiện bằng cách…admin_menuHành động này được thực hiện bằng cách sử dụng các hook (các công cụ hoặc lớp chức năng được thiết kế sẵn).

// 在后台管理菜单中添加一个新页面
function my_first_plugin_add_admin_menu() {
    add_menu_page(
        '我的插件设置',          // 页面标题
        '我的插件',             // 菜单标题
        'manage_options',       // 所需权限
        'my-first-plugin',      // 菜单slug
        'my_first_plugin_settings_page', // 显示页面内容的回调函数
        'dashicons-admin-generic', // 图标（可选）
        80                      // 菜单位置
    );
}
add_action( 'admin_menu', 'my_first_plugin_add_admin_menu' );

// 定义设置页面的内容
function my_first_plugin_settings_page() {
    ?>
    <div class="wrap">
        <h1>Cài đặt plugin đầu tiên của tôi</h1>
        <p>Chào mừng bạn đến với trang cài đặt của plugin này. Trong tương lai, nhiều tùy chọn cấu hình khác nhau có thể được thêm vào đây.</p>
        <form method="post" action="/vi/options.php/" data-trp-original-action="options.php">
            <!-- 未来可以在这里添加设置字段 -->
            <?php submit_button(); ?>
        <input type="hidden" name="trp-form-language" value="vi"/></form>
    </div>
    &lt;?php
}

Sử dụng bộ lọc để chỉnh sửa nội dung bài viết

Giả sử chúng ta muốn tự động thêm một đoạn thông báo bản quyền vào cuối mỗi bài viết, sử dụng các hook (công cụ xử lý dữ liệu) của hệ thống.the_contentĐúng là đã phát huy tác dụng rồi.

Đọc thêm Làm thế nào để lựa chọn và phát triển plugin WordPress chất lượng cao: Hướng dẫn từ cơ bản đến nâng cao。

// 在文章内容末尾自动添加版权声明
function my_first_plugin_add_copyright( $content ) {
    // 确保只在主循环的单篇文章页面执行
    if ( is_single() && in_the_loop() && is_main_query() ) {
        $copyright_text = '<div class="plugin-copyright"><p><em>Bản quyền của bài viết này thuộc về trang web này. Khi sao chép, vui lòng ghi rõ nguồn gốc.</em></p></div>';
        $content .= $copyright_text;
    }
    return $content; // 必须返回修改后的内容
}
add_filter( 'the_content', 'my_first_plugin_add_copyright' );

Bảo mật và thực hành tốt nhất cho plugin

Khi phát triển các tiện ích mở rộng (plugin), bảo mật là yếu tố cần được xem xét hàng đầu. Một tiện ích mở rộng không an toàn có thể trở thành nguyên nhân gây ra các lỗ hổng bảo mật cho toàn bộ trang web.

Xác thực, làm sạch và thoát dữ liệu

Đừng bao giờ tin tưởng vào dữ liệu do người dùng nhập vào hoặc dữ liệu từ bên ngoài. Mọi dữ liệu đến từ…$_GET、$_POST、$_COOKIEHoặc dữ liệu trong cơ sở dữ liệu đều phải được xác thực và làm sạch trước khi sử dụng.

Máy chủ chia sẻ của InterServer

Lưu trữ chia sẻ với mức phí $2,50 USD mỗi tháng, giảm giá $0,1 USD trong tháng đầu tiên, mã giảm giá tryinterserver, với 461 ứng dụng đám mây và cài đặt chỉ bằng một cú nhấp chuột.

Truy cập trang

• Xác thực (Validation): Kiểm tra xem dữ liệu có đúng định dạng mong đợi hay không (ví dụ: có phải là email, số, v.v.). Có thể sử dụngfilter_var()Function orsanitize_*()Các hàm trong loạt này.
• Làm sạch (Sanitization): Loại bỏ các ký tự bất hợp pháp hoặc không an toàn trong dữ liệu. Ví dụ, đối với đầu vào văn bản, sử dụngsanitize_text_field()。
• Thoát (Escaping): Khi xuất dữ liệu ra HTML, JavaScript hoặc URL, đảm bảo các ký tự đặc biệt được mã hóa chính xác để ngăn chặn tấn công XSS. Sử dụngesc_html()、esc_js()、esc_url()các hàm, v.v.

// 不安全的做法
echo $_GET['user_input'];

// 安全的做法：先清理，再转义
$safe_input = sanitize_text_field( $_GET['user_input'] );
echo esc_html( $safe_input );

Sử dụng WordPress mà không cần các công cụ kiểm tra CE (Content Enforcement) và quyền truy cập (permissions checks)

Khi xử lý việc gửi điền vào biểu mẫu (đặc biệt là những trường hợp liên quan đến việc sửa đổi hoặc xóa dữ liệu), bạn nhất định phải sử dụng các biện pháp bảo mật thích hợp.wp_nonce(Một số ngẫu nhiên được sử dụng để xác thực tính hợp lệ của yêu cầu, nhằm ngăn chặn các cuộc tấn công CSRF. Đồng thời, cần kiểm tra xem người dùng hiện tại có quyền thực hiện thao tác đó hay không.)

// 在处理表单提交时检查权限和nonce
function my_first_plugin_handle_form_submit() {
    // 1. 检查nonce
    if ( ! isset( $_POST['my_plugin_nonce'] ) || ! wp_verify_nonce( $_POST['my_plugin_nonce'], 'my_plugin_action' ) ) {
        wp_die( '安全校验失败！' );
    }

// 2. 检查用户权限
    if ( ! current_user_can( 'manage_options' ) ) {
        wp_die( '权限不足！' );
    }

// 3. 清理和保存数据（此处省略）
    // ...
}

Bạn đang chuẩn bị phát hành plugin của mình.

Khi tính năng của plugin được hoàn thiện và vượt qua các bài kiểm thử, bạn có thể xem xét chia sẻ nó với những người dùng WordPress khác.

Chuẩn bị cho quá trình quốc tế hóa và địa phương hóa (Internationalization and Localization)

Để người dùng trên toàn thế giới có thể sử dụng plugin của bạn, bạn cần chuẩn bị tốt cho việc hỗ trợ nhiều ngôn ngữ (internationalization – i18n). Điều này có nghĩa là tất cả các chuỗi văn bản dành cho người dùng đều phải được bao bọc bằng các hàm dịch của WordPress. Chúng tôi đã chỉ định điều này trong phần chú thích ở đầu tệp plugin của bạn.Text Domain: my-first-plugin。

Trong mã nguồn, hãy sử dụng…__()Hàm được sử dụng để dịch chuỗi văn bản và trả về kết quả dịch._e()Chức năng dịch và hiển thị kết quả ngay lập tức.

// 将之前页脚输出的文本改为可翻译
function my_first_plugin_add_footer_text_i18n() {
    $text = __( '感谢使用我的第一个WordPress插件！', 'my-first-plugin' );
    echo '<p style="text-align: center; color: #666;">'`. esc_html($text)`.'</p>';
}
add_action( 'wp_footer', 'my_first_plugin_add_footer_text_i18n' );

Sau đó, bạn có thể sử dụng các công cụ như Poedit để tạo ra những gì bạn cần..potĐây là tệp mẫu; người dịch có thể sử dụng nó để tạo ra các phiên bản bằng các ngôn ngữ khác nhau..po和.moTệp.

Hoàn thiện thông tin meta của plugin và tệp readme.

Nếu bạn dự định gửi plugin của mình đến danh mục plugin chính thức của WordPress, bạn cần tạo một phiên bản plugin đáp ứng đầy đủ các tiêu chuẩn được yêu cầu.readme.txtĐây là một tệp tin được viết theo định dạng Markdown đặc biệt, dùng để hiển thị thông tin về plugin của bạn trên trang web WordPress.org, bao gồm mô tả plugin, hướng dẫn cài đặt, hình ảnh minh họa, và nhật ký cập nhật.

Đồng thời, hãy đảm bảo rằng thông tin meta ở đầu tệp chính của plugin của bạn là đầy đủ và chính xác, đặc biệt là số phiên bản. Hãy tuân theo các nguyên tắc kiểm soát phiên bản có ý nghĩa (semantic versioning).MAJOR.MINOR.PATCHĐó là một thói quen tốt.

Tóm lại

Việc phát triển plugin cho WordPress là quá trình biến những ý tưởng thành những tính năng mạnh mẽ cho trang web. Chúng ta bắt đầu bằng cách tạo một tệp plugin cơ bản nhất, sau đó dần học cách sử dụng hệ thống hook mạnh mẽ của WordPress (actions và filters) để chèn mã lệnh, thêm menu nền và chỉnh sửa nội dung. Điều quan trọng hơn, chúng ta đã tìm hiểu kỹ lưỡng về các thực hành bảo mật thiết yếu trong quá trình phát triển plugin, bao gồm việc xác thực dữ liệu, làm sạch dữ liệu, mã hóa dữ liệu (escaping) và kiểm tra quyền truy cập – những yếu tố then chốt để đảm bảo plugin của bạn hoạt động đáng tin cậy và không bị lạm dụng.

Cuối cùng, chúng ta đã xem xét các bước tiếp theo trong quá trình phát triển plugin: chuẩn bị cho việc hỗ trợ nhiều ngôn ngữ (internationalization) và quy trình phát hành plugin. Bằng cách nắm vững những khái niệm và kỹ năng cốt lõi này, bạn sẽ có khả năng xây dựng các giải pháp tùy chỉnh cho bất kỳ dự án WordPress nào. Hãy nhớ rằng, cách học tốt nhất là thực hành ngay; hãy bắt đầu với một yêu cầu đơn giản và từ từ mở rộng chức năng của plugin của mình.

FAQ 常见问题

Để phát triển một plugin cho WordPress, bạn cần nắm vững một số kiến thức cơ bản sau:

Để phát triển các plugin cho WordPress, bạn cần có kiến thức cơ bản về ngôn ngữ lập trình PHP, vì mã nguồn của các plugin chủ yếu được viết bằng PHP. Bạn cũng cần hiểu biết cơ bản về HTML, CSS và JavaScript để xây dựng giao diện người dùng (frontend) và tương tác với người dùng. Điều quan trọng nhất là bạn phải nắm rõ cấu trúc cơ bản của WordPress, đặc biệt là hệ thống Hook (Các Hook) – đây là cách chính mà các plugin tương tác với phần cốt lõi của WordPress.

Sự khác biệt giữa tệp functions.php của plugin và theme là gì?

Chủ đềfunctions.phpCác tệp tin được sử dụng để thêm mã nguồn liên quan đến giao diện và chức năng của một chủ đề cụ thể; mã nguồn này sẽ bị vô hiệu hóa khi chủ đề đó được thay đổi. Ngược lại, các plugin là những mô-đun chức năng độc lập với chủ đề. Dù bạn sử dụng chủ đề nào, miễn là plugin đó được kích hoạt, chức năng của nó vẫn sẽ hoạt động. Việc đặt các chức năng chung vào các plugin là một cách tốt hơn, bởi vì nó đảm bảo tính độc lập và khả năng di chuyển (portability) của các chức năng đó.

Làm thế nào để gỡ lỗi (debug) plugin WordPress của tôi?

Trước hết, hãy đảm bảo rằng…wp-config.phptrong tệpWP_DEBUGChế độ này sẽ hiển thị các lỗi và cảnh báo của PHP trên màn hình. Hãy sử dụng nó.error_log()Hàm này sẽ ghi thông tin gỡ lỗi vào nhật ký lỗi của máy chủ. Ngoài ra, bạn có thể sử dụng các công cụ trong gói phát triển trình duyệt (developer tools), cụ thể là tab “Console” và “Network”, để gỡ lỗi cho các yêu cầu JavaScript và AJAX. Đối với những logic phức tạp, việc sử dụng các công cụ này sẽ giúp bạn dễ dàng theo dõi và khắc phục sự cố hơn.var_dump()或print_r()Hãy xuất giá trị của biến, nhưng đừng quên loại bỏ các đoạn mã gỡ lỗi này trước khi phát hành sản phẩm.

Làm thế nào để plugin của tôi tương tác với cơ sở dữ liệu?

WordPress cung cấp…$wpdbĐối tượng toàn cục này được sử dụng để thực hiện các thao tác trên cơ sở dữ liệu một cách an toàn; nó bao gồm các lệnh truy vấn SQL và cung cấp chức năng làm sạch dữ liệu. Để tạo, cập nhật hoặc xóa các bảng dữ liệu tùy chỉnh, bạn nên sử dụng nó khi plugin được kích hoạt.dbDelta()Đối với hầu hết các trường hợp cấu hình dữ liệu, cách đơn giản và an toàn hơn là sử dụng API Options của WordPress.add_option(), update_option(), get_option()Dùng để lưu trữ các cặp khóa-giá trị.

Làm thế nào để tạo trang cài đặt có thể được điều chỉnh cho plugin của tôi?

Việc tạo trang cài đặt thường bao gồm một số bước cụ thể:add_menu_page()或add_submenu_page()Hãy thêm các mục menu và trang web vào hệ thống, sau đó sử dụng API Settings để đăng ký các thiết lập, chương (sections) và trường (fields) cần quản lý. API Settings sẽ tự động xử lý các yêu cầu không được xác thực (non-CE validation) và kiểm tra quyền truy cập, đồng thời cung cấp cách hiển thị các trường một cách tiêu chuẩn hóa. Đây là phương pháp được khuyến nghị để xây dựng các trang thiết lập nền tảng an toàn và có tính chuẩn hóa.