Plugin & theme audit.

Jede Admin-Aktion auf current_user_can() und die richtige Capability geprüft — nicht nur is_user_logged_in().

Jeder zustandsändernde Request auf eine gültige, aktionsgebundene Nonce geprüft. Leicht zu vergessen; häufige Ursache von CSRF-zu-RCE-Ketten.

Sanitisierung und Validierung jeder Nutzereingabe — nicht nur beim Speichern, sondern auf jeder Ebene (REST, AJAX, Shortcode, Block, CLI-Befehl).

Jedes echo / printf / Template-Variable in den richtigen Escaper gepackt (esc_html, esc_attr, esc_url, wp_kses). Reflected XSS ist immer noch der häufigste WordPress-Befund.

Durchgehend Prepared Statements. Keine String-Konkatenation in $wpdb->query(). $wpdb->prepare() mit den richtigen Format-Spezifizierern.

Upload-Handler, File-Deletes, File-Reads — alles auf Path-Traversal, Typprüfung und Ausführungsverhinderung in Upload-Verzeichnissen geprüft.

Nutzungen von eval, unserialize, system, exec, preg_replace /e, extract — markiert und im Kontext geprüft.

Eigene Login-Logik, Passwort-Reset, OAuth, API-Token-Handling — sobald das Plugin Identität bewegt, schauen wir genau hin.

Mitgelieferte Bibliotheken (jQuery, Composer-Pakete, npm-Builds) auf bekannt verwundbare Versionen und Forks von Upstream-Code geprüft.

Jeder ausgehende HTTP-Request geprüft — was gesendet wird, wohin und ob der Response blind vertraut wird.

Wenn sich das Plugin aus einer Nicht-WordPress.org-Quelle selbst aktualisiert, wird die Integrität des Update-Kanals durchgängig geprüft.

Trennung Network-Admin vs. Site-Admin, Super-Admin-Escalation-Pfade, rollen-eingeschränkte Aktionen im gesamten Netzwerk.