Es gibt eine ganze Reihe an WordPress Plugins, die Schwachstellen aufweisen, welche von Angreifer bereits aktiv ausgenutzt werden.

Updates für die Plugins Duplicator, Profile Builder, ThemeGrill Demo Importer, Flexible Checkout Fields for WooCommerce, Async JavaScript, 10Web Map Builder for Google Maps, und Modern Events Calendar Lite, welche die aktuellen Sicherheitslücken schließen, sind verfügbar und sollten von Nutzern eingespielt werden. Weiters wird eine Schwachstelle im ThemeREX Addons aktiv ausgenutzt, für das es aktuell noch keinen Patch gibt. Nutzer sollten derzeit das Plugin aus deren Seite löschen. Hier sollte das Plugin nicht nur deaktiviert sondern wirklich gelöscht werden, um sicherzustellen, dass der verwundbare Code auch tatsächlich von der Webseite entfernt wurde. Generell ist man gut beraten, wenn man die WP-Seite regelmäßig auf neue Administrator Accounts, unerwarteten Content und insbesondere .php und .zip Dateien im /wp-content/uploads/ Verzeichnis untersucht. Wichtig ist auch, regelmäßige Backups der Seite und der Datenbank zu erstellen, um bei Bedarf auf einen älteren Stand zurückgehen zu können. Mehr zu den Schwachstellen kann unter www.bleepingcomputer.com nachgelesen werden.