BezpieczeństwoWordPressa popadło w spore tarapaty. W pluginie WP Maps Pro, który zainstalowany jest na ponad 15 tysięcy stronach, odkryto krytyczną lukę umożliwiającą każdemu atakującemu przejęcie pełnej kontroli nad witryną. Wada o identyfikatorze CVE-2026-8732 z najwyższym ocennym CVSS 9.8 pozwala nieuwierzytelnionym użytkownikom utworzyć sobie konto administratora bez żadnych ograniczeń. Co najważniejsze, przestępcy już aktywnie wykorzystują tę słabość w rzeczywistych atakach, co czyni sytuację bardzo pilną dla właścicieli serwisów.
WP Maps Pro to dość popularne rozszerzenie z komercyjnego rynku Envato, gdzie sprzedano go ponad 15 tysięcy razy. Oznacza to potencjalnie ogromną liczbę podatnych instalacji na całym świecie. Choć plugin służy przede wszystkim do dodawania map do stron WordPress, jego luka bezpieczeństwa otwiera drzwi do całkowicie niekontrolowanego dostępu do systemu, co w praktyce oznacza możliwość kradzieży danych, osadzenia złośliwego kodu czy całkowitego sparaliżowania witryny.
Dla tysiąców menedżerów stron WordPress to alarm, który powinien być traktowany z absolutnym priorytetem. Każdy, kto korzysta z WP Maps Pro, musi niezwłocznie sprawdzić, czy nie padł ofiarą ataku, a następnie zaktualizować plugin do poprawionej wersji lub go całkowicie usunąć. Luka tego kalibru ukazuje, jak ważne jest regularne monitorowanie bezpieczeństwa wtyczek, szczególnie tych mniej znanych czy rzadko aktualizowanych. Firmy zajmujące się hostingiem WordPress powinny także rozważyć automatyczne alerty dla swoich klientów.