Wordpress bruker sin egen $wpdb klasse, som etter en del år med testing er regnet for å være så sikker som den kan få blitt på det nåværende tidspunktet (som ikke nødvendigvis betyr at den er sikker).
Det er altså lite å tjene for Wordpress på å gå over til PDO, og ettersom $wpdb fungerer nærmest som et ORM så er det heller ikke noe stort problem å konvertere til PDO innad i den klassen dersom de ønsker det, men $wpdb er allerede regnet for å være sikker.
Sikkerhetsproblemer i relasjon til databasen og SQL injection i Wordpress oppstår for det meste når noen har en "god" idé og bruker vanlige PHP funksjoner for å snakke med databasen i stedet for $wpdb, og glemmer å validere input.
Det virkelig problemet er plugins og themes som ikke lages av Automaticc, der kan hvem som helst ha gjort hva som helst.
Når det kommer til sikkerhet i plugins og themes, så er det også vanskelig å si at man kunne gjort alt bedre selv.
Utvikleren av Revolution Slider,
ThemePunch er tross alt regnet for å være svært kompetent på Wordpress. Dette er i hovedsak det de driver med, og de sitter å holder på med dette hver dag, hele dagen, i Wordpress.
Likevel laget de et gigantisk sikkerhetshull, som ingen, hverken ThemePunch eller hackere, oppdaget før etter flere år.
Så kan man tenke seg, dersom ThemePunch klarer å gjøre en slik brøler, tenk hva du selv, jeg, eller alle andre her på forumet kan klare å legge inn av uante sikkerhetshull i en eller annen plugin?
Man er aldri sikret mot slik, men erfaring hjelper selvfølgelig mot de mest åpenlyse brølerne, og erfaring med PHP er ikke nødvendigvis det samme som erfaring med sikkerhet.
Wordpress bruker også
phppass til passord hashing, ikke rene MD5 hasher, selv om det er det som ligger i bunn.
Problemet er uansett ikke å knekke en hash, problemet er å få tak i de hashede passordene til å begynne med, og Wordpress core er forholdsvis sikkert, sannsynligvis sikrere enn det de fleste koder på egen hånd, det er tross alt åpen kildekode, og millioner av utviklere har gått igjennom den koden et utall ganger.
Forøvrig bruker password_hash hva enn som er tilgjengelig i det underliggende systemet, eller det du ber den om å bruke, og det kan like gjerne være MD5 på enkelte systemer, selv om bcrypt er standard fra og med PHP 5.5.0
Fordelen med å bruke Wordpress er selvfølgelig at man slipper å kode mye selv, samtidig er ulempen at Wordpress er benyttet av så mange, og det er derfor det er et yndet mål for hackere, klarer man å finne hull i plugins benyttet av millioner av nettsider, så er det tross alt noe mer interessant enn å finne et sikkerhetshull i en eller annen obskur hjemmesnekret nettside ingen har hørt om.
