Aanvallers zijn erin geslaagd om meerdere WordPressplug-ins van een backdoor te voorzien doordat de betreffende ontwikkelaars hun wachtwoorden op meerdere plekken hadden hergebruikt. De gecompromitteerde plug-ins zijn op 116.000 websites actief, zo meldt securitybedrijf Wordfence. Volgens onderzoekers van het bedrijf wisten aanvallers de inloggegevens van de betreffende ontwikkelaars in bekende datalekken te vinden en konden zo toegang krijgen tot het ontwikkelaarsaccount op WordPress.org.

Vervolgens werd er malafide code aan de plug-ins toegevoegd. Het gaat om Blaze Widget, Wrapper Link Element, Contact Form 7 Multi-Step Addon, Simply Show Hooks, WP Server Health Stats, Ad Invalid Click Protector (AICP), PowerPress Podcasting plugin by Blubrry en Seo Optimized Images. De aanvallers wisten ook Pods – Custom Content Types and Fields, Twenty20 Image Before-After en WPCOM Member te compromitteren, maar slaagden er bij deze drie plug-ins niet in om de update met malafide code onder gebruikers uit te rollen.

Alle webmasters die voor hun WordPress-sites van deze plug-ins gebruikmaken moeten er volgens Wordfence vanuit gaan dat hun website is gecompromitteerd. Vanwege de aanval heeft WordPress.org besloten om vermoedelijk gecompromitteerde ontwikkelaarsaccounts geen updates meer te laten uitrollen en wordt er met hen contact gezocht. Tevens krijgen ontwikkelaars het advies om sterke unieke wachtwoorden en tweefactorauthenticatie (2FA) te gebruiken.