Plugin WP Automatic cho phép các quản trị viên tự động nhập nội dung (văn bản, hình ảnh, video) từ các nguồn trực tuyến khác nhau và xuất bản trên trang web WordPress.

Nguyên nhân tồn tại lỗ hổng xuất phát từ cơ chế xác thực người dùng của plugin có thể bị bỏ qua để gửi các truy vấn SQL đến cơ sở dữ liệu của trang web, từ đó tin tặc tạo tài khoản quản trị viên trên trang web mục tiêu.

Kể từ khi lỗ hổng được công bố vào ngày 13/3, các nhà nghiên cứu đã ghi nhận hơn 5,5 triệu cuộc tấn công sử dụng lỗ hổng này, nhiều nhất là vào ngày 31/3.

Sau khi chiếm quyền truy cập quản trị vào trang web mục tiêu, tin tặc sẽ thiết lập backdoor và làm rối mã (Obfuscated code) để tránh bị phát hiện. Chúng cũng ngăn người khác chiếm trang web (sử dụng cùng một kỹ thuật) bằng cách đổi tên tệp sang "csv.php”. Sau khi kiểm soát được trang web, tin tặc cài đặt các plugin bổ sung cho phép tải lên tệp và chỉnh sửa mã.

Quản trị viên có thể kiểm tra các dấu hiệu cho thấy trang web đã bị chiếm đoạt bằng cách tìm kiếm một tài khoản quản trị bắt đầu bằng "xtw" và các tệp có tên web.php và index.php.

Người dùng plugin WP Automatic được khuyến cáo cập nhật lên phiên bản mới nhất càng sớm càng tốt và thường xuyên sao lưu trang web để khôi phục nhanh chóng dữ liệu nếu gặp rủi ro mất an toàn thông tin.