Mặc dù WordPress đã đưa ra bản vá lỗi bảo mật 2.8.4 từ 12/08/2009 nhưng dường như ít ai để ý tới. Và kết quả là blog của bạn có thể bị phá. Làm sao để biết? Có hai hiện tượng mà bạn có thể kiểm tra

• link bị thêm các ký tự lạ như /%&(%7B$%7Beval(base64_decode ($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/
• trong phần quản trị có thêm tài khoản Admin mà bạn không nhìn thấy, hoặc không truy xuất được

Khi thấy các hiện tượng này, bạn cần nâng cấp ngay phiên bản WordPress của bạn. Tuy nhiên, do có thể cơ sở dữ liệu của blog đã bị xâm nhập, cách tốt nhất là cài lại mới hoàn toàn một phiên bản khác. Bạn có thể tiến hành các bước sau

• Sao lưu các bài viết đã có bằng tính năng XML WordPress export, KHÔNG export database!
• Sao lưu lại các hình ảnh, file đính kèm nếu có
• Xóa bộ cài đặt hiện tại, tải bộ cài đặt mới nhất lên, và thực hiện quá trình cài mới
• Khôi phục lại bài viết, hình ảnh bằng file sao lưu
• Cài đặt thêm một số plugins hữu dụng trong việc bảo mật

Ghi nhớ rằng WordPress là một phần mềm được sử dụng rộng rãi, tuy nhiên, việc bảo mật chưa phải là xuất sắc, mặc dù các nhà phát triển WordPress khá nhanh nhạy trong việc phản ứng lại với các lỗi xảy ra. Bạn nên cập nhật thường xuyên phiên bản WordPress của mình, sử dụng những mật khẩu hợp lý.