在WordPress中，防止CSRF攻击的一种主要方法是使用wp-nonce。在进行敏感的管理员活动（如创建、删除、更新内容）时，需要检查引荐者是否为管理员（防止攻击者伪造请求）。下面是一个使用wp-nonce和admin referrer的示例：

// 认证登录的用户是否为管理员
if ( is_user_logged_in() && current_user_can( 'manage_options' ) ) {

  // 生成wp-nonce
  $nonce = wp_create_nonce( 'my-nonce-action' );

  // 检查引荐者是否为WordPress后台
  check_admin_referer( 'my-form-action', 'my-form-nonce' );

  // 执行敏感的管理员操作
  // ...

}

// 输出表单
echo '
';
echo '';
echo '';
echo '';
echo '
';

以上示例中，在表单提交时，后台会检查引荐者是否为WordPress后台，并使用wp-nonce验证表单数据的完整性。如果引荐者未通过验证或wp-nonce验证失败，则操作将不会执行，从而保护您的数据安全。