二通り解釈が可能な質問だから対策の解答が割れてる様な・・・

・解釈その1(流出の心配)
固定の専用SSIDとパスワードがスケッチに書き込まれており
受け取ったユーザーに悪意があった場合それをArduinoから読み出すことが出来るか?

・解釈その2(設定の心配)
配布したアイテムの動作にはSSIDとパスワードが必要で
それはスケッチ上で書き換えてからコンパイルしたプログラムをArduinoに送らないとならないので
ユーザーが設定を変更してプログラムを書き換えるために貰ったArduinoからスケッチを読み出せるか?