Brojke govore sve: u 2025. prijavljeno je preko 11.000 novih WordPress ranjivosti (+42%), a čak 91% ih je u pluginovima — ne u jezgri. Više od polovice iskoristivo je bez ijedne lozinke, a prozor od objave do prvog napada danas je često manji od 24 sata. Evo dodataka koji su u posljednje vrijeme najviše na meti.
Plugini pod aktivnim napadom
- OttoKit (bivši SureTriggers) — CVE-2025-27007. Propust u autentikaciji do RCE-a. 100.000+ instalacija.
- Depicter Slider — CVE-2025-2011. Neautentificirani SQL injection. 100.000+ instalacija.
- Kubio AI Page Builder — CVE-2025-2294. Local File Inclusion → RCE. 100.000+ instalacija.
Uz njih su i dalje vruće ranjivosti koje smo obradili zasebno: GutenKit i Hunk Companion, WPvivid Backup, Motors tema i Service Finder.
Kako ostati siguran
- Ažurirajte odmah — jezgru, temu i sve dodatke; uklonite one koje ne koristite.
- Uključite automatska ažuriranja za kritične sigurnosne zakrpe.
- Dodajte WAF i skener zloćudnog koda te redovite kopije.
- Provjeravajte ima li nepoznatih admin računa — čest znak proboja.
Niste sigurni je li vaš WordPress čist ili ranjiv? Pošaljite nam link — dijagnoza je besplatna, a javljamo se u roku od 5 minuta. Hitni popravak →
WMD — Super brza podrška.