落地清单
子比主题二次开发前、开发中、上线前的检查项。
开发前
| 检查项 | 说明 |
|---|---|
| 明确需求类型 | 展示、流程、数据、后台配置、支付资产、第三方同步分别处理 |
| 选择承载位置 | 子主题、插件、Hook、Ajax、模板覆盖不要混用 |
| 确认功能开关 | 论坛、商城、AI、支付渠道、社交登录可能未启用 |
| 找到源码入口 | 先找入口文件和 zib_require(),再看具体函数 |
| 搜索 Hook | 能用 Hook 不改核心文件 |
| 确认数据模型 | post、term、user、order、meta、自定义表分别处理 |
开发中
| 检查项 | 说明 |
|---|---|
| 兼容判断 | function_exists()、class_exists()、defined() |
| 参数过滤 | 不直接信任 $_POST、$_GET、$_REQUEST |
| 权限校验 | 登录态、nonce、角色、对象归属、业务状态 |
| 输出转义 | esc_html()、esc_attr()、esc_url()、wp_kses_post() |
| 日志 | 支付、订单、同步、上传、消息发送要可追踪 |
| 幂等 | 支付回调、订单同步、权益发放不能重复处理 |
| 性能 | 高频 Hook 不做慢查询和远程请求 |
| 缓存 | 登录态、用户中心、订单、支付、Ajax 不被全页缓存 |
上线前
按流程测试:
- 登录、注册、找回密码、邮箱/手机验证码。
- 用户资料、头像、封面、修改密码、账号绑定。
- 投稿、评论、上传、搜索、分享。
- 论坛发帖、编辑、关注、评分、话题、标签、版主流程。
- 商城商品页、购物车、下单、售后、物流。
- 支付创建、回调、支付成功、退款、下载权限。
- 余额、积分、VIP、优惠券、分佣、提现。
- 消息中心、私信、微信模板消息。
- 缓存、CDN、安全插件、WAF 是否影响动态请求。
- 移动端和桌面端都检查一次关键路径。
出问题时怎么回滚
可维护的扩展应该能单独停用:
- 插件扩展:禁用插件。
- 子主题模板:临时改回父主题模板。
- Hook 扩展:移除 Hook 注册。
- Ajax 扩展:关闭前端入口并保留后端日志。
- 支付扩展:关闭新增渠道,不影响已有订单查询。
不要把不可回滚的改动直接写进主题核心文件。主题核心文件一旦被覆盖,更新、排查和回退都会变得很麻烦。
交付资料
每个扩展建议留下:
- 功能说明。
- 修改文件列表。
- 新增 Hook、Ajax、短代码、后台配置。
- 数据字段说明。
- 权限和安全策略。
- 缓存排除说明。
- 测试清单。
- 回滚方式。