Jonathan Claudius di Trustwave SpiderLabs ha scoperto tre vulnerabilità sulle versioni di WordPress uguali o anteriori alla 3.3.1 che permetterebbero ad un attaccante di : iniettare codice malevolo nel blog, realizzare un attacco XSS ed ottenere inoltre l’enumerazione degli utenti e dei database attivi sul sistema colpito. Le vulnerabilità possono essere sfruttate però in una finestra temporale molto breve, ovvero durante la fase di installazione di WordPress, nel momento precedente all’inserimento dei dati relativi a database e nome utente per quest’ultimo. Claudius ha rilevato che un attaccante può utilizzare la possibilità di installare su un database remoto la copia violata di WordPress ottenendo così una serie di privilegi sul blog stesso che consentirebbero di alterare il codice, enumerare database ed utenti durante la fase di installazione oppure generare un attacco XSS ai danni dei visitatori del blog colpito. Alle persicaci osservazioni di Claudius, il team di sviluppo di WordPress ha risposto che le condizioni per sfruttare le vulnerabilità sono altamente improbabili e che la finestra di attacco è relativamente troppo breve per essere appunto sfruttata. In effetti la possibilità che un utente non completi l’installazione di un blog WordPress lasciando la procedura incompleta è alquanto remota e qualora un elemento esterno potesse comunque approfittare della situazione la violazione verrebbe scoperta molto facilmente ed il codice malevolo rimosso senza eccessivi danni per il sistema colpito.