در یک دورهی چند روزه در اواخر ماه مِه، عاملان مخرب تلاش کردند تا با بهرهبرداری از آسیبپذیریهای شناختهشده در تِمها و افزونهها، گواهینامههای پایگاه دادهی میلیونها وبگاه وردپرس را به سرقت ببرند. بهگفتهی شرکت امنیت وردپرس، Defiant، دیوار آتش آن بیش از ۱۳۰ میلیون اقدام برای جمعآوری گواهینامههای پایگاه داده از ۱٫۳ میلیون وبگاه را در بازهی زمانی بین ۲۹ مِه تا ۳۱ مِه مسدود کرده است. تعداد حملات در ۳۰ مِه به بالاترین میزان خود رسید. پس از ۳۱ مِه حجم حملات به میزانی که شرکت معمولاً مشاهده میکند، کاهش یافت.
Defiant بیان کرد که این حملات بیش از یک سوم مشتریان آن را تحت تأثیر قرار داده است و این شرکت معتقد است که تعداد کل وبگاههایی که در این پویش هدف قرار گرفتهاند احتمالاً به بیش از ۱۰ میلیون وبگاه رسیده است.
ظاهراً مهاجمان از آسیبپذیریهای موجود در تِمها و افزونهها که امکان بارگیری یا استخراج فایلها را به آنها میدهد، بهرهبرداری کردند. بهطور خاص، آنها تلاش کردند تا فایل پیکربندی wp-config.php را از وبگاههای وردپرس بارگیری کنند. این فایل حاوی اطلاعات دیگر ازجمله نام کاربری و گذرواژه است که ممکن است برای دسترسی به یک پایگاه دادهی وبگاه وردپرس که محتوا و اطلاعات کاربران را ذخیره میکند، مورد استفاده قرار گیرد.
تجزیه و تحلیل این حمله نشان داد که اقدام برای بهرهبرداری از بیش از ۲۰ هزار آدرس IP صورت گرفته است که همان IPهایی هستند که در یکی دیگر از پویشهای بزرگ اخیر که ۱٫۳ میلیون وبگاه وردپرس را هدف قرار داد، استفاده شده بود. هدف آن حمله تزریق کد جاوااسکریپت در وبگاههای آسیبپذیر بهمنظور هدایت بازدیدکنندگان به وبگاههای مخرب بود.
Defiantمعتقد است که دو پویش نیز توسط همان عامل تهدید راهاندازی شده بود، زیرا آنها اغلب از IPهای مشابه و آسیبپذیریهای شناختهشده در تِمها و افزونهها استفاده میکنند. بااینحال، حملهی اخیر نزدیک به یک میلیون وبگاه را هدف قرار داد که در عملیات قبلی هدف قرار نگرفته بودند. این شرکت دربارهی نحوهی محافظت مدیران از وبگاههای وردپرس در برابر این حملات توصیههایی منتشر کرده است.