¿Qué función usarías para escapar una URL antes de imprimirla en href?

esc_url es la función adecuada para URLs en salida HTML.

Tema clásico 09: seguridad e internacionalización en producción

Endurece el tema clásico aplicando escape/sanitización y deja preparado el proyecto para traducción real con text domain consistente.

¿Cuánto sabes de WordPress Themes Pro?

📘 Teoría

Seguridad en plantillas: escapar por contexto

No existe un escape universal; cada contexto pide su función específica.

Usa esc_html para texto plano, esc_attr para atributos HTML y esc_url para enlaces.

Si recibes datos de usuario o de opciones del tema, sanea primero y escapa siempre al renderizar.

Evita imprimir variables crudas en atributos o scripts: es uno de los fallos más comunes en temas clásicos.

Escapa en el último momento, justo antes del echo.
Sanea al guardar, escapa al mostrar.
No mezcles HTML y datos sin control.
Revisa hooks y template parts también.

Salida segura en una tarjeta de post

<?php
$title = get_the_title();
$url = get_permalink();

echo '<a class="post-link" href="' . esc_url($url) . '">' . esc_html($title) . '</a>';

Internacionalización correcta del tema

Traducir no es solo envolver cadenas: también debes cargar el dominio y mantener consistencia.

Carga el text domain en after_setup_theme apuntando a /languages del tema.

Envuelve textos de interfaz con __(), _e(), esc_html__ o esc_attr__ según contexto de salida.

Mantén el mismo text domain en todo el código; variarlo por archivo rompe el flujo de traducción.

Setup i18n recomendado

<?php
add_action('after_setup_theme', function () {
  load_theme_textdomain('mi-tema-clasico', get_template_directory() . '/languages');
});

echo esc_html__('Leer más', 'mi-tema-clasico');

Checklist previa a release

Antes de publicar, revisa seguridad e i18n como parte obligatoria del QA.

Busca echos directos sin escape y corrige por contexto (html, attr, url).

Verifica que el text domain sea único y que no haya cadenas hardcodeadas sin función de traducción.

Documenta reglas mínimas en el repositorio para que nuevos cambios no reintroduzcan fallos básicos.

Sin salida de datos sin escape.
Sin cadenas visibles fuera de funciones i18n.
Text domain consistente en todo el tema.
Revisión en staging antes de tag de versión.

1 Seguridad en plantillas: escapar por contexto 2 Internacionalización correcta del tema 3 Checklist previa a release

🧪 Aprende probando

Ejemplo Ejemplo: enlace seguro y traducible Patrón corto para imprimir CTA con URL segura y texto traducible.

⌄

🏁 Retos

Reto Reto: cargar dominio de traducción Completa el setup para activar traducciones del tema desde la carpeta languages.

⌄

🧰 Recursos

Enlaces útiles

Data Validation Escaping Data Internationalization load_theme_textdomain()

Test

Comprueba tus conocimientos con un test sobre WordPress Themes Pro.

Test de WordPress Themes Pro

Recursos del curso 30

📘 Glosario 🖼️ Infografías 🎬 Vídeos 🔗 Enlaces

‹

Lección 18

Tema clásico 08: Customizer avanzado con ajustes seguros

Lección 20

Tema clásico 10: release profesional y entrega controlada

›