De populaire WordPress-plug-in Gravity Forms, die naar eigen zeggen op meer dan één miljoen websites actief is, is door aanvallers voorzien van een backdoor. De malware zat verborgen in twee installatie-packages die via de officiële website werden aangeboden, zo waarschuwt de ontwikkelaar. Via de backdoor werd een admin-account aangemaakt waarmee aanvallers controle over de website konden krijgen.

De backdoor zat niet in de updates voor de plug-in, alleen in handmatige gedownloade packages van versies 2.9.11.1 en 2.9.12 of wanneer er een composer install van versie 2.9.11.1 werd gedaan. De besmette versies werden op 9 en 10 juli aangeboden. RocketGenius, ontwikkelaar van de plug-in, heeft informatie online gezet waarmee beheerders een besmette website kunnen identificeren. Hoe de besmette versies van de plug-in via de officiële website konden worden aangeboden heeft RocketGenius niet bekendgemaakt. Ook is onbekend hoeveel websites door de backdoor zijn getroffen.

Er zijn inmiddels nieuwe, schone versies van de plug-in uitgebracht. Daarnaast is de domeinnaam waar de backdoor verbinding mee maakt door registrar Namecheap uit de lucht gehaald. De backdoor blijkt ook met verschillende ip-adressen te communiceren, zo laat securitybedrijf Patchstack in een analyse van de backdoor weten.