פלטפורמת וורדפרס נוכחת בקרוב ל- 30% מרשת האינטרנט, חייבת להיות מאובטחת ויציבה. עם זאת, אין וורדפרס יכולה להבטיח 100% אבטחה, כאשר ידוע כי התקפות על אתרי וורדפרס עלולות לשבש את נראות ותפעול האתר. מסיבה זו, חייבים בעלי אתרי וורדפרס לעשות ככל האפשר על מנת להבטיח כי האקרים לא יוכלו, או לפחות יתקשו מאד לפרוץ את אתר הוורדפרס.
התקפות הזרקת קוד כגון Scripting בין אתרים והזרקת SQL – הינם מקור דאגה בעדיפות גבוהה לבעלי אתרי וורדפרס. מפתחי וורדפרס בכל רחבי העולם משקיעים שעות רבות על מנת להבטיח אבטחה ויציבות של אתרי וורדפרס. על אף זאת, קיימים היבטים מסוימים בפלטפורמת וורדפרס אשר פגיעים למתקפות. חיוני לדעת מהן המתקפות הללו, על מנת לאפשר לחברי קהילת וורדפרס לנקוט צעדים לחיזוק אבטחת האתר והשקט הנפשי. ניתן לטעון כי קימות אפשרויות להגן על אתר וורדפרס מפני מתקפות אלו על ידי שימוש בטכניקות אבטחה וכתיבת קוד ייעודי.
ראוי לציין כי וורדפרס כבר נחשבת למערכת מאובטח לניהול תוכן מקוון, כאשר צוות המפתחים של וורדפרס מדגיש בבירור את המחוייבות שלו לסגירת פרצות פוטנציאליות של האקרים, לרבות על ידי: שחרור עדכוני אבטחה על בסיס קבוע ומחוייבות לתאימות גירסאות לאחור. למרות המאמץ הזה, וורדפרס – כמו כל יישום מקוון ומערכת ניהול תוכן, עדיין זקוקה מידי פעם לסיוע כדי לעצור פריצות והתקפות.
מתקפות Cross Site Scripting – XSS
ראשית, מתקפות XSS הן אחד מעשרת הסיכונים הגדולים ביותר על פי דירוג OWASP (קהילה מקוונת אשר יוצרת מאמרים, מתודולוגיות, תיעוד, כלים וטכנולוגיות – בתחום אבטחת יישומי אינטרנט). סיכון אבטחה זה הינו חלק מקבוצת "הזרקה" של מתקפות ומתרחש כאשר JavaScript נטען באמצעות רכיבי אתר דינמיים פגיעים – כגון טפסי יצירת קשר או שדות קלט אחרים באתר. מתקפת XSS עלולה להפחית באופן משמעותי את אמון הלקוחות באתר וורדפרס ולכן נקיטת צעדים הדרושים למניעת מתקפת XSS חייבת להיות בעדיפות גבוהה. למרבה המזל, ניתן למנוע מתקפות XSS על ידי שליחה / הוצאה נכונה של נתונים מהאתר וניקוי מידע בלתי רצוי. פעולה זו ידועה בשם Sanitization – תהליך של ניקוי או סינון נתוני הקלט. בין אם מקור הנתונים הוא ממשתמש או ממשק API או משירות אינטרנט – מפעילים מנגנון ניקוי כאשר לא יודעים לאיזה סוג נתונים לצפות משדות הקלט באתר או כשלא רוצים להיות קפדניים מדי באשר לאימות הנתונים המוזנים לשדות הקלט.
הזרקות SQL
הזרקת SQL קשורה קשר הדוק למתקפות XSS, בכך שהיא דורשת נקודת כניסה פגיעה בהתבסס על מאמצי הסניטציה שהופעלו באתר וורדפרס. ההבדל הוא כי הזרקות SQL עלולות להשפיע ישירות על בסיס הנתונים של אתר הוורדפרס ולכך – השלכות הרות אסון. ממשק ה- API הסטנדרטי של וורדפרס מספק מספר פונקציות המסייעות בהגנה על נתונים שהוזנו מהזרקות SQL. יש לציין כי חלק משאילתות ה- SQL שלך אינו פשוט וקיים סיכוי שה- API לא יתחשב בהן.
Cross Site Request Forgery – CSRF
בסוג מתקפה זה על אתרי וורדפרס, המשתמש אינו מודע שהוא מרומה לביצוע פעולה מכוונת של ההאקר: לחיצה על קישור, פעולות GET – בקשה לדף, או POST – נתונים הנשלחים לשרת האחסון. וולידציה של קישורים ופעולות באתר עשויות להפוך את אתר הוורדפרס למאובטח יותר, מה גם שקיימות פונקציות המוסיפות nonces ל- URL של האתר וכן, פורמטים מותאמים אישית אשר אידיאלים עבור פעולות AJAX באתר.