Falls Ihr einen WordPress-Blog einsetzt und in diesem vielleicht auf das Plugin Custom Contact Forms setzt, solltet Ihr dringend ein Update durchführen. Wie Sucuri herausfand, gab es in dem Plugin eine Lücke, die den Download, die Modifikation und den Upload von Datenbanken ermöglicht – und zwar ohne Authentifizierung. Eine kritische Lücke also, die Sucuri dem Entwickler auch mitgeteilt hat, allerdings ohne Reaktion. Erst nachdem sich WordPress eingeschaltet hat, wurde der Bug beseitigt, ein entsprechendes Update steht bereit und sollte auch unbedingt durchgeführt werden.
Sucuri gibt Nutzern des Plugins auch gleich den Ratschlag, direkt auf ein anderes Plugin (Jetpack und Gravity Forms wird genannt) zu setzen, wenn man ein Kontaktformular benötigt. Begründet wird dies damit, dass der Entwickler nicht reagierte. Die Details zu der Lücke findet Ihr bei Sucuri, bedenkt man, dass die Lücke in allen Versionen des Plugins vorhanden war und das Plugin über 600.000 Downloads verzeichnet, ist es fast erstaunlich, dass da nicht in großem Umfang Unfug mit getrieben wurde. Es gibt laut einem Kommentar unter dem Sucuri-Artikel allerdings auch schon Meldungen, dass die Lücke aktiv ausgenutzt wird.