Nel post Login with username or email address di WPSnipp, viene presentata una soluzione per permettere agli utenti di eseguire il login inserendo solo il proprio username o la propria e-mail. Questa soluzione, per quanto comoda, è in realtà un'autostrada aperta per potenziali violazioni di sicurezza. Purtroppo di soluzioni pericolose come questa ce ne sono fin troppe in giro sul Web. Vediamone alcune.
Disabilitare l'avviso di upgrade di WordPress
Non aggiornare WordPress è una delle prime cause di problemi di sicurezza. Disabilitare l'avviso di aggiornamento è un modo sicuro per cadere prima o poi nelle trappole dei malintenzionati.
Disabilitare l'avviso di upgrade dei plugin
Stando ai bollettini del sito Secunia, ogni giorno si scoprono nuove vulnerabilità per i plugin di WordPress. Non aggiornare i plugin è un errore fatale. Disabilitare tali avvisi è pertanto sconsigliato.
Modificare il Core di WordPress
Alcuni sviluppatori "illuminati" consigliano di modificare alcuni componenti del Core di WordPress se non esiste una soluzione alternativa. Si ignora il fatto che le modifiche andranno perse se si effettua un aggiornamento di WordPress, quindi questa soluzione oltre ad essere pericolosa è anche inutile.
Modificare la gestione dei commenti
Alcune persone trovano che i campi predefiniti del form dei commenti ai post siano troppo pochi e quindi escogitano nuove soluzioni per aggiungere campi personalizzati ai commenti.
La maggior parte di queste modifiche avviene tramite plugin, ma ci sono anche soluzioni che prevedono l'uso di hook e filtri o addirittura della modifica dei file core dei commenti.
Queste modifiche vanno bene solo se si filtra e si valida sempre e comunque l'input utente. Altrimenti tali modifiche creano solo problemi di sicurezza.