Любой программный продукт без иключения имеет дыры и уязвимости. Поэтому вполне понятно, что во всех версиях WordPress есть дыры. Другое дело, что не все они ещё определены и известны. Следовательно злоумышленник может обнаружить уязвимость, а далее — сформировать специальный запрос к вашему сайту таким образом, чтобы в итоге получить доступ с правами администратора.

Также точно, например, злоумышленник может написать небольшую html-страницу, где разместит скрытую форму, которая автоматически будет, скажем, добавлять пользователя с админскими правами на ваш сайт. А поскольку большинство из нас не разлогинивается после работы с блогом, то после перехода на ссылку злоумышленника вы по-сути от своего имени (и с вашими разрешениями) создадите еще одного админа.

Проблема (XSS) касается не только WordPress, но и всех других «движков» и скриптов. Для защиты от подобных действий нужно проверять откуда идет запрос — т.н. referer: если он не с вашего же сайта, то возможно это XSS-атака.

Работает «Anti-XSS attack» так:

Если на сайт приходят данные в «wp-admin», то проверяется реферер. Если это _GET (то есть в виде url), и реферер не совпадает с адресом вашего сайта, то выполнение скрипта останавливается и выводится сообщение с ссылкой, по которой можно подтвердить действие.

В другом случае, если же данные передаются в скрытом виде (_POST) и реферер не совпадает с вашим сайтом, то выполнение скрипта прекращается.

Установка плагина очень проста и не займет много времени: копируем содержимое архива в каталог plugins и активируем плагин в админ-панели. Однако, если у вас в браузере отключена передача referer — в этом случае все ваши действия WordPress будет воспринимать как XSS-атаку. Если из-за этого вы не можете получить доступ к админ-панели, то удалите файл плагина. WordPress автоматом его деактивирует.

Скачать Плагин «Anti-XSS attack» для WordPress

Ссылка на первоисточник