GDPR Cookie Consent - плагин для WordPress, который показывает стандартный текст про куки и соблюдение GDPR. 700.000 активных инсталляций. И уязвимость, которая позволяет любому зарегистрированному пользователю делать почти все, что угодно, на сайте.
С одной стороны, ну, ерунда же - вывести плашку с одной кнопкой. Зачем плагин, если можно сделать самим?
С другой - одна мелочь, другая, третья... А владельцу сайта хочется заниматься своим бизнесом или хобби, а не с сайтом ковыряться. И вот он берет один плагин для одной задачи, второй - для другой, третий... И вот уже на сайте несколько десятков плагинов! Все полезные и нужные!
Только, вот, написаны они совершенно разными людьми. Разной квалификации. И каждый новый плагин - это новая потенциальная "дырка".
И если вы думаете, что такие проблемы могут быть только у обычных пользователей - ошибаетесь. Те же разработчики тянут в свои проекты кучу сторонних модулей и библиотек, не очень напрягаясь по поводу качества кода в них.
Что делать? Наверное, соблюдать разумный баланс. Проверять и тестировать собственный код. Периодически рефакторить. В идеале - проводить аудит. Берешь сторонний модуль - смотри на историю версий, поддерживается ли разработка, авторитет автора, скорость выпуска обновлений и т.п.
Подробности об уязвимости: https://threatpost.com/critical-wordpress-plugin-bug-afflicts-700k-sites/152871/