专注于WordPress网站安全的资安业者Wordfence指出，他们本周留意到名为Social Warfare的插件程序，近期被WordPress.org插件程序市集的审查团队发现，遭人植入恶意代码，Wordfence通过内部的威胁情报平台进行比对，结果找到其他4个也被植入类似代码的插件程序，他们向审查团队通报此事，遭感染的插件程序自24日暂停提供下载，但究竟黑客如何上传这些有问题的插件程序，研究人员表示并不清楚。

对此，他们也公布被植入恶意代码的插件程序名称及版本，这些插件程序是：

●4.4.6.4至4.4.7.1版Social Warfare
●2.2.5至2.5.2版Blaze Widget
●1.0.2至1.0.3版Wrapper Link Element
●1.0.4至1.0.5版Contact Form 7 Multi-Step Addon
●1.2.1版Simply Show Hooks

值得留意的是，除了Social Warfare推出4.4.7.3版移除相关代码，Wrapper Link Element提供不含有关内容的1.0.0版，其余开发者并未推出更新予以修补。

而对于攻击者的动机，研究人员指出，一旦对方成功在网站植入恶意插件程序，就会试图创建新的管理员帐号，并将结果回传黑客控制的服务器。此外，黑客疑似借由注入恶意JavaScript代码，通过网站增加搜索引擎优化（SEO）的垃圾索引。