Sicherheit ist ein großes Thema. Letztlich kann man nie sicher sein, ob ein Plugin gehackt werden kann oder nicht. Deswegen sollten Sie immer gewissenhaft programmieren und sich an folgende Regeln halten, auch wenn es einen Mehraufwand bedeutet:
- Versuchen Sie Ihren eigenen Code zu hacken. Denken Sie bei jeder Code-Zeile darüber nach welche Wege es gibt, schadhaften Code einzuschleusen.
- Gehen Sie davon aus, dass einige Benutzer die Dokumentation eines Plugins nie lesen werden. Das bedeutet: Sie müssen auf alle Eventualitäten vorbereitet sein.
- Gehen Sie davon aus, dass das Verhalten sämtlicher Nutzer das gleiche ist. Gehen Sie immer von einem DAU (= dümmsten anzunehmenden User) aus.
- Machen Sie die Plugin-Sicherheit zu einem Teil Ihres Plugins. Am Anfang einer Plugin-Entwicklung steht immer die Idee. Der zweite Schritt sollte auch die Sicherheit bedenken.
- Halten Sie Ihr Plugin immer Up-To-Date. Denn auch WordPress schließt die eigenen Sicherheitslücken irgendwann, löst bestimmte Funktionen ab und deklariert andere wiederum als deprecated (also als veraltet).
- Niemand ist Perfekt und irren ist Menschlich. Wenn Sie eine mögliche Sicherheitslücke entdecken sollten Sie sie aber schließen, sobald Sie sie entdecken. Machen Sie mögliche Sicherheitslücken niemals öffentlich sondern warten Sie, bis alle User ein Update eingespielt haben.
- Wenn Sie sehr früh mit Plugin-Programmierung begonnen haben, haben Sie möglicherweise noch nicht an die Sicherheit gedacht. Jetzt ist guter Zeitpunkt, Ihre Plugins noch einmal hervorzubringen und nach möglichen Sicherheitslücken zu untersuchen.
- Dokumentieren Sie Ihren Code so gut es geht. Denn mit großer Sicherheit werden Sie das Plugin auch in Zukunft noch einmal in die Hand nehmen. Wenn Sie dann auf Anhieb sehen, wie der Code funktioniert, sehen Sie mögliche Schwachstellen viel schneller.
- Bitte nehmen Sie Hinweise auf mögliche Sicherheitslücken ernst. Sie sollten niemals gekränkt reagieren, weil Ihr Code Fehler enthält. Wie gesagt: Niemand ist perfekt. Hängen Sie die Energie lieber in die Korrektur der Fehler und seien Sie stolz auf sich, weil Sie schnell reagieren können.
- Vor allem aber: Bleiben Sie misstrauisch.
Ich hoffe ich konnte darlegen, dass Plugin-Sicherheit keine schwierige Aufgabe ist. WordPress kommt mit vielen vorgefertigten Funktionen daher, die Ihnen helfen, Ihren Code schnell und bequem auf Sicherheit auszurichten.