אתר Sucuri מדווח כי עודכן פלאגין File Manager לאחר שזוהתה פרצת אבטחה קריטית אשר איפשרה לכל מבקר באתר לקבל גישה מלאה. פלאגין מנהל הקבצים מאפשר לערוך, למחוק, להעלות, להוריד, לכווץ, להעתיק ולהדביק קבצים ותיקיות ישירות מפאנל ניהול וורדפרס ללא צורך בחשבון FTP.
משתמשי WAF מעולם לא היו פגיעים לפרצת אבטחה זו וכן מדווחים Sucuri כי חומת האש שלהם חסמה פרצת אבטחה זו כברירת מחדל באמצעות הכללים הגנריים שלהם. פרצת האבטחה של פלאגין File Manager נוצרה כתוצאה משאריות של סביבת פיתוח הפלאגין לפני כ- 4 חודשים: קובץ ששמו שונה במטרה לבדוק מאפיינים מסוימים נוסף בטעות לכלל קבצי הפלאגין במקום להישאר בסביבת הפיתוח. שינוי זה אפשר לכל משתמש לא מאומת לגשת ישירות לקובץ זה ולבצע פקודות שרירותיות בתיקייה, לרבות העלאה ושינוי קבצים ובסופו של דבר להשאיר את האתר חשוף להשתלטות מוחלטת.
חברת הפיתוח של פלאגין File Manager הסירה את הקובץ המדובר מקבצי הפלאגין (הפלאגין עצמו לא השתמש בקובץ בצורה כלשהי).
חשוב להבין כי קיים גבול דק בין קוד לא מאובטח בו נעשה שימוש במהלך פיתוח, לבין הקוד הסופי המשמש לעבודה. קובץ קטן אחד המחליק דרך הסדקים עלול לגרום לפגיעות קריטית עבור משתמשי וורדפרס. למרות שתקלה זו עלולה לקרות, תהליך ביקורת חזק וזמן תגובה מהיר לבעיות אבטחה הם התגובה הטובה ביותר כל מפתח וחברת פיתוח פלאגינים לאתרי וורדפרס.