Баги в механизме обновления WordPress.⁠⁠

2 сентября 2016 года Специалисты WordFence обнаружили RCE-уязвимость, которая фактически позволяет атакующим получить доступ и выполнить собственный код на api.wordpress.org, скомпрометировав таким образом не только сервер обновлений, но миллионы сайтов по всему миру.

Проблема полностью так и не решена.

Подробно: https://xakep.ru/2016/11/23/wordpress-auto-update-flaws/