WordPress eklentilerimizde gerek yönetim paneli bölümünde gerekse de ziyaretçi tarafında formları kullanarak işlem yapıyorsak, güvenliği artırmak için önceki yazımda bahsettiğim nonce (tek kullanımlık) kod sistemini kullanmalıyız. Bu yöntemde form içerisine sadece o siteye ait gizli bir kod yerleştirilip, kontrolü yapılır. Böylece bilgilerin sitenin içerisinden gönderildiğinden emin olunur.

WordPress eklentilerinde oluşabilecek en büyük güvenlik açıkları CRSF denilen bir saldırıya karşı gerekli önlemlerin alınmamasından kaynaklanmaktadır. Bu saldırıda, yönetici konumundaki bir kişiye özel bir link tıklatılarak, eklenti aracılığıyla site zarar verilir. Bunun temelinde de siteye gönderilen bilgilerin başka yerden mi yoksa site içinden mi geldiğinin kontrol edilmemesi yatar.

WordPress eklentilerinin bazıları ilk etkinleştirildiklerinde ya da kullanıldıkça WordPress veritabanına eklemeler, çıkarmalar yapabiliyorlar. Bu eklentileri etkisizleştirdiğinizde, hatta sildiğinizde bu artıklar sitede olduğu gibi kalıyor. Halbuki WordPress 2.7 sürümünden bu yana eklenti yazarlarına eklentilerini uninstall (kaldırma) işlemi yapabilmeleri için gerekli alt yapıyı sunuyor. Eğer eklentiniz veritabanında işlem yapıyorsa siz de bu özellikten yararlanmalısınız.