Utilizar plugins implica asumir cierto riesgo en la seguridad, ya que los hackers pueden usar estas ampliaciones como puerto de entrada para un ataque. En los últimos años, los atacantes se están centrando cada vez más en los plugins (sobre todo los add ons de los navegadores) para diseminar códigos dañinos y acceder sin permiso a páginas web.
Esto puede deberse a varios motivos. Por un lado, está la gran base de usuarios; los plugins más populares acaban instalados en los ordenadores de millones de usuarios. Si un hacker consigue aprovecharse de una brecha de seguridad, podrá llegar a muchas víctimas potenciales. Además, hay que tener en cuenta que los plugins se usan en muchos ámbitos distintos y que cuentan con un amplísimo campo de aplicación. Por lo tanto, el riesgo no afecta solo a un grupo objetivo de usuarios.
Luego, hay que recordar otro problema básico: muchos de los plugins (como los plugins para WordPress) los desarrollan personas individuales o programadores aficionados. A menudo el usuario final no puede hacerse una idea del todo clara acerca del nivel de seguridad del código, ni saber si tiene flaquezas de las que podrían aprovecharse los cibercriminales. Aún peores son los plugins que se desarrollan específicamente para distribuir malware, spyware y otros software maliciosos.
Por lo tanto, es importante sopesar bien si merece la pena usar un plugin. Debes asegurarte de que solo instalas plugins de fuentes serias y no integrar un plugin cualquiera solo porque te promete una función interesante. Además, los plugins presentan un riesgo de seguridad desde su instalación, no hace falta ni que estén activos siquiera. También debes asegurarte de actualizar regularmente los plugins que tengas instalados, para corregir los puntos débiles que hayan sido detectados y solucionados.