Rozważania na temat bezpieczeństwa dla konkretnego projektu programistycznego powinny rozpocząć się już w fazie projektowania i zbierania wytycznych dla zespołu programistów. Nie wszyscy biorą to pod uwagę zasłaniając się brakiem czasu lub zasobów ludzkich. W efekcie końcowym, oprogramowanie już na początku ma szereg błędów bezpieczeństwa, które mogą zostać wykorzystane do złamania zabezpieczeń i kradzieży danych. WordPress sam w sobie jest dość bezpiecznym CMS-em, jednak doinstalowywanie wtyczek, szczególnie takich, które nie były audytowane przez ich twórców (lub niezależnych badaczy) od roku, jest proszeniem się o kłopoty. Pisanie oprogramowania jest procesem długotrwałym dlatego większość programów może mieć w swoim kodzie fragmenty składni, które mogą być przestarzałe lub przestały być bezpieczne. Wynika to z ciągłego rozwoju języków programowania.
Wtyczka do CMS WordPress nie przechodzi żadnego audytu wewnętrznego, poza tym na jaki pozwoli sobie jej autor lub zewnętrzny zespół. Czy jest to wystarczające? Pytanie powinno brzmieć: czy audytor ma na tyle fachową wiedzę na temat programowania oraz bezpieczeństwa komputerowego, aby móc rzetelnie zanalizować jej kod i wyeliminować luki bezpieczeństwa? Z pewnością wykwalifikowani poszukiwacze luk znają się na swojej robocie, niemniej jednak nie oni są twórcami większości wtyczek do WordPress. A są ich tysiące i cały czas pisane są nowe.
Każdy programista, aby zapewnić choć minimum ochrony dla swojej wtyczki i jej użytkowników, powinien kierować się podstawowymi zasadami bezpieczeństwa.
Należy przemyśleć kwestie bezpieczeństwa już w etapie projektowym wtyczki. Jeśli pominie się ten proces to w ciągu niedługiego czasu będzie konieczne usuwanie błędów i podatności w kodzie.
Programista powinien próbować samemu włamać się do wtyczki oraz analizować na bieżąco możliwość wykorzystania jej kodu. Tak więc testy są konieczne. Poza tym powinno się brać pod uwagę nierozsądne lub wręcz idiotyczne zachowania użytkowników, którzy mogą użyć wtyczki w dość niecodzienny sposób. Programista musi to przewidzieć. Choć prawdopodobnie nie przewidzi wszystkiego. Nie należy zakładać, że użytkownik zrobi wszystko to, czego się od niego oczekuje.
Załoga WordPress`a nieustannie pracuje i udoskonala swój produkt eliminując błędy i nieprawidłowe działanie. Autorzy wtyczek powinni robić to samo. Dlatego właśnie wtyczki nieaktualizowane od dłuższego czasu zawierają błędy. W ich kodzie są przestarzałe mechanizmy i funkcje, które powodują luki. Wtyczka może i dobrze działa ale nie jest bezpieczna.
Programista powinien tworzyć dokumentację wtyczki nie tylko dla siebie ale również dla innych, którzy mogą po kilku miesiącach przejąć jej rozwój. Wtedy dokumentacja będzie dużym ułatwieniem.
Należy reagować na zgłaszane błędy. I to szybko. Autor powinien zamieszczać listę błędów wtyczki publicznie aby zachęcić użytkowników do jej zaktualizowania oraz do poszukiwania kolejnych. Nie wszystkim wydaje się, że aktualizacja jest czymś ważnym. Uważają to za zbędne i pozostawiają moduły nieuaktualnione narażając się na wrogie przejęcie witryny. Sami autorzy WordPress`a szybko reagują na błędy i dość sprawnie wypuszczają aktualizację.
Pamiętaj aby wszystkie dynamiczne dane zawsze uznawać za niebezpieczne.
To tyle jeśli chodzi o podstawy w kwestii bezpieczeństwa wtyczki do CMS WordPress. Na pewno nie jest to proste zadanie, ale nie jest też aż tak skomplikowane, aby pomijać je i udawać, że nie temat nie istnieje. Najważniejsze to sprawdzać dane wejściowe, ale także wyjściowe. Interakcja pomiędzy użytkownikiem a witryną jest z reguły niebezpieczne ale również łatwe do zabezpieczenia.