據外媒12月26日報道，WordPres團隊于2014年發現并刪除的14個WordPress 惡意插件如今仍然被數百個網站使用。這些惡意插件可能允許攻擊者遠程執行代碼，導致網站信息泄露。目前，WordPress 團隊已經提供了應對措施。

WordPress 團隊2014年初披露 14 個 WordPress 插件存在惡意代碼，能夠允許攻擊者在被劫持的網站上插入SEO垃圾郵件鏈接，從而通過郵件獲得該網站的URL和其他詳細信息。直至2014年底，官方才從目錄中刪除了這些惡意插件。

WordPress團隊最近發現官方插件目錄被人為更改，導致原本已屏蔽的舊插件頁面仍然可見，并且所有插件都包含有惡意代碼的頁面。這表明在官方刪除惡意插件的三年后仍有數百個站點還在使用著它們。

為了保護用戶免受惡意插件的侵害，一些專家曾建議WordPress團隊從官方插件目錄中刪除惡意插件時提醒網站所有者，但這一想法被 WordPress 團隊以“可能致使站點面臨更大安全風險”的由否定。這個建議爭議的地方在于，它造成了一種道德和法律上的兩難境地：刪除插件能夠保護網站免受黑客攻擊，但同時也可能對網站一些功能造成破壞。

目前，為了抵御一些主要的安全威脅，WordPress 開發人員在發現被感染的插件后會將其回滾到最后一個“干凈”的版本，并將其作為一個新的更新強制安裝在所有受影響插件的站點上。這樣既能刪除惡意代碼、維護網站安全，同時也能保證網站功能不受影。