WordPress è indubbiamente uno dei CMS più famosi è utilizzati, e il suo successo è anche dovuto alla estrema semplicità di installazione, configurazione e utilizzo anche da parte degli utenti (e degli amministratori) meno esperti. Proprio a causa della sua diffusione è bene fare attenzione alle possibili minacce ricordandosi comunque che all’interno delle sue classi ci sono molti strumenti utili da sfruttare anche per rafforzarne la sicurezza, ed è necessario conoscerli e utilizzarli con cognizione di causa.

Un interessante post di Daniel Pataki raggruppa alcune indicazioni essenziali per evitare i pericoli più comuni, che possono sia provenire sia dall’esterno che da un uso malaccorto dell’interfaccia da parte degli utenti del sito. Il primo tipo di minaccia è quello che proviene dall’uso degli URL, minaccia che può essere contenuta tramite una appropriata configurazione del file .htaccess. Come risorsa supplementare, è possibile anche utilizzare una configurazione già ottimizzata per WordPress.

Per quanto riguarda le operazioni compiute dagli utenti, è buona norma inserire nel codice un controllo dei diritti dell’utente seguendo metodi e ruoli specificati dalla piattaforma. Un mezzo molto potente che abbiamo a disposizione quando sviluppiamo per WordPress sono anche i metodi relativi alla generazione di nonces per verificare la corretta provenienza di un comando.

Infine, è sempre presente la minaccia di SQL injection, ma i metodi specifici per interagire con il database del CMS, deputati alla sanificazione dei dati, ci liberano da un'ulteriore preoccupazione.