En octobre 2016, la société White Fir Design relevait la présence d'une porte dans 14 plugins pour WordPress, permettant l'exécution de code à distance… depuis au moins 2014.
Ces extensions ont été désactivées au sein du dépôt officiel de WordPress, qui présente depuis peu une page pour ces outils abandonnés. Bleeping Computer relève qu'à fin décembre 2017, des centaines de sites disposent toujours de ces plugins vérolés, jusqu'à plus de 500 pour page-google-maps ou wp-handy-lightbox.
Pour nos confrères, il s'agit surtout de sites abandonnés, pour lesquels les responsables ont perdu tout intérêt. Il y a quelques jours, il a été découvert qu'un plugin installé sur 300 000 sites ouvrait leurs portes. L'équipe de WordPress avait pris sur elle de revenir à une version sans le code incriminé, en attendant une éventuelle réaction du concepteur.
