Читать книгу El gran libro de desarrollo de plugins WordPress - Jhon Jairo Rincón Cardona - Страница 39

Imagínese que un usuario tiene permisos de administrador y está logueado en su WordPress, él no tiene pensado borrar ninguna entrada. Sin embargo, ¿qué sucede si le envío por correo un enlace con la url para eliminar una entrada? Si el usuario pulsa mi enlace, lo estaré forzando a realizar el borrado de alguna entrada.

Este tipo de ataque es parte de los ataques conocidos como CSRF (Cross Site Request Forgery).

Si el usuario ejecuta alguna acción forzada sin tener un nonce válido, WordPress mostrará la siguiente pantalla por defecto y sin opción a nada.