Securitybedrijf Patchstack ontdekte 25 januari een lek in een plug-in, een technische toevoeging om WordPress meer mogelijkheden te geven. De betreffende plug-in vervangt de standaard WordPress-editor. Zo kunnen websitemakers op het gebied van vormgeving meer doen.

Patchstack meldde het lek diezelfde dag nog bij WordPress. Moederbedrijf Automattic heeft het lek vervolgens op 28 januari gedicht door een update uit te brengen. Veel websitebeheerders hebben deze echter nog niet geïnstalleerd.

WordPress is het meestgebruikte contentmanagementsysteem ter wereld en wordt door de beheerders van zo'n tientallen miljoenen websites gebruikt. Ook zijn er tienduizenden plug-ins beschikbaar, die niet allemaal even veilig zijn.

Lang niet alle websites maken gebruik van de genoemde plug-in. Uit cijfers van WordPress blijkt dat het in totaal om ruim een miljoen websites gaat. Volgens BleepingComputer hadden maandag ongeveer 380.000 beheerders de update geïnstalleerd, maar zijn er ook beheerders van ongeveer 600.000 websites die dat tot op heden nog niet hebben gedaan.