Sytuacja jak w powyższym tytule może mieć miejsce, gdy dla zachowania zgodności naszej instalacji WordPressa z GDPR/RODO zainstalowaliśmy wtyczkę WP GDPR. Sam pomysł takiej wtyczki jest oczywiście jak najbardziej pozytywny: umożliwia ona min. zarządzania zgodami na przetwarzanie danych użytkowników popularnego CMS jak też pomaga zapewnić prawo do bycia zapomnianym. Ironią losu jest więc fakt, że umożliwiała ona kompromitację każdego serwisu WP, który miał korzystać z jej dobrodziejstwa.
Kod pluginu pozwalał na wykonanie operacji nadpisania konfiguracji WP bez uwierzytelnienia, oraz – niezależnie – na wykonanie wybranej akcji CMS’a – także przez anonimowego użytkownika. Najprostszym scenariuszem ataku w takich okolicznościach było włączenie otwartej rejestracji użytkowników, a następnie ustawienie domyślnej roli nowych kont na konto administracyjne. Po tym wystarczyło się już tylko zarejestrować, co od pewnego czasu robili atakujący, przejmując witryny w celu prowadzenia dalszych działań (np. infekcja skryptami do kopania kryptowalut, o czym już pisaliśmy). Plugin miał ok 100 tys. instalacji. Parafrazując twierdzenie, że system IT jest tak bezpieczny, jak jego najsłabszy element: Twój WordPress jest bezpieczny tak, jak jego najsłabszy plugin.