Daugiau nei milijonas „WordPress“ puslapių turi kritinę saugumo sistemos spragą, dėl kurios kaltas įskiepis „WP-Slimstat“. Tai yra analitinis įrankis, kuris buvo parsisiųstas daugiau nei 1,3 mln. kartų.
Visos įskiepio versijos iki pat neseniai išleistos „Slimstat 3.9.6“ turi lengvai iššifruojamą raktą, kuris naudojamas duomenų, siunčiamų ir gaunamų iš vartotojų kompiuterių, pasirašymui.
Pažeidžiamumas suteikia galimybę atlikti taip vadinamas SQL-injekcijas, kurios leidžia gauti prieigą prie slaptažodžių ir šifravimo raktų, naudojamų puslapių nuotoliniam administravimui.
„Blind SQL Injection“ tipo atakos suteikia prieigą prie duomenų bazės su prisijungimų vardais, slaptažodžiais, kartai prie failų su „WordPress Secret Keys“, kurie neretai leidžia kontroliuoti visą puslapį.
Slimstat naudojamas raktas – tai tik laikina žyma, fiksuojanti įskiepio diegimo momentą (šifravimui naudojamas algoritmas MD5). Per atitinkamas tarnybas galima sužinoti, kad internete pasirodė vienas ar kitas puslapis. Sužinojus metus, galima pratestuoti apie 30 mln. skaitinių variantų, o tai užtruktų apie 10 minučių.
Pastaroji problema platformai „WordPress“ nėra pirma, kuri leidžia atakuoti tūkstančius puslapių. Vien tik 2014 m. pabaigoje buvo aptikti du rimtai pažeidžiamumai: vienas jų susijęs su programėle „SoakSoak“, kita, leidžianti kurti komentarus su kenkėjišku „JavaScript“ kodu, kėlė pavojų net 86 % visų „WordPress“ puslapių.