使用“Total Donations”插件的WordPress網站，Defiant 建議網站管理員從他們的服務器中刪除該插件，防止黑客利用其代碼漏洞攻擊網站。

過去一周，來自Defiant 的安全專家觀察到了使用“Total Donations” 插件會導致網站遭受零日攻擊。Defiant 是專門製作WordPress 防火牆插件的公司。

此次漏洞覆蓋所有版本的“Total Donations” 插件。“Total Donations”是一個商業插件，網站管理員一直用來在網站收集和管理網站捐贈，目前已經放棄維護。

據研究人員Mikey Veenstra 稱，該插件的代碼包含幾個設計缺陷，這些缺陷從整體上將插件和WordPress 網站暴露在不安全的環境中，在周五發布的一份安全警報中，Veenstra 表示，該插件包含一個Ajax 代碼，任何未經驗證的遠程攻擊者都可以使用該代碼操作改插件。

Ajax 代碼存放在插件的一個文件中，這意味著停用插件並不能消除威脅，因為攻擊者只需直接調用該文件，所以只有刪除整個插件才能保護站點免受攻擊。該Ajax 代碼允許攻擊者更改任何WordPress 站點的核心設置項的數值，更改插件相關的設置，修改通過插件收到的捐款的目標帳戶，甚至檢索Mailchp 郵件列表。

“Total Donations”的開發商目前已經停止該插件的開發，該公司在CodeCanyon所有插件目前已全部停止下載。作為一個商業產品，該插件不會有一個龐大的用戶群。但該插件最有可能安裝在擁有大量用戶群的WordPress 網站上，這些網站是黑客的主要目標。