I nonce in WordPress rappresentano un meccanismo di sicurezza fondamentale che genera token temporanei per proteggere le operazioni sensibili da attacchi Cross-Site Request Forgery (CSRF). Ogni nonce ha una durata limitata e viene utilizzato per verificare che le richieste provengano da fonti autorizzate. L'implementazione dei nonce richiede due passaggi principali: la generazione attraverso funzioni come wp_create_nonce() e la verifica mediante wp_verify_nonce(). Questi token vengono comunemente utilizzati nelle form HTML, nelle chiamate AJAX e nelle operazioni dell'amministrazione WordPress. Per le form, il nonce viene solitamente inserito come campo nascosto utilizzando wp_nonce_field(). Nelle chiamate AJAX, il nonce può essere localizzato attraverso wp_localize_script() e verificato lato server. La corretta implementazione dei nonce è cruciale per operazioni come il salvataggio dei meta box, l'elaborazione di azioni bulk e la gestione delle sessioni utente. L'utilizzo dei nonce migliora significativamente la sicurezza delle applicazioni WordPress, impedendo richieste non autorizzate e garantendo che le azioni vengano eseguite solo da utenti autenticati con permessi validi. È una pratica essenziale per proteggere operazioni sensibili come l'aggiornamento dei contenuti, la gestione degli utenti e le modifiche alle impostazioni del sito.