WordPress heeft een plug-in met meer dan 100.000 installaties wegens een beveiligingslek van de eigen downloadpagina verwijderd en adviseert beheerders van WordPress-sites hetzelfde te doen. De ontwikkelaar van de plug-in heeft namelijk aangegeven dat de kwetsbaarheid, waardoor websites in het ergste geval kunnen worden overgenomen, niet zal worden gepatcht.

Het gaat om de plug-in met de naam "Contact Form 7 Datepicker", die weer een uitbreiding van de plug-in "Contact Form 7" is. Via Contact Form 7 is het mogelijk voor WordPress-sites om meerdere contactformulieren te beheren. Met de Datepickerplug-in kunnen er datumkiezers aan het contactformulier worden toegevoegd. De plug-in is kwetsbaar voor cross-site scripting waardoor het mogelijk is om de sessie van de beheerder te stelen of een kwaadaardige beheerder toe te voegen.

Het beveiligingslek werd ontdekt door securitybedrijf Wordfence. De plug-in wordt echter niet meer door de ontwikkelaar onderhouden. Daarop waarschuwden de onderzoekers WordPress, dat de plug-in van de downloadpagina verwijderde. Beheerders van WordPress-sites krijgen hetzelfde advies.