Aktueller (Zu)Stand: Wird eine (berechtigte) Sicherheitslücke in einem Plugin/Theme lokalisiert, werden in der Regel der Plugin-Autor und das WordPress-Sicherheitsteam darüber informiert. Der Entwickler der betroffenen Erweiterung bekommt Zeit eingeräumt, die Lücke zu schließen. Unternimmt der Autor keinerlei Schritte zur Beseitigung der Schwachstelle (weil Plugin aufgegeben, Zeitmangel, etc.), so deaktiviert das WordPress-Sicherheitsteam die betroffene Erweiterung im offiziellen WordPress-Verzeichnis.
Das dadurch entstandene Problem: Die Erweiterung kann zwar nicht länger heruntergeladen werden, bei WordPress-Endanwendern mit aktivem Plugin verbleibt die Version bis auf Weiteres installiert. Kein Update, keine Benachrichtigung.
Und weil die Schonfrist verstrichen ist, wird die Sicherheitslücke publik gemacht. Hacker fangen an, die Schwachstelle via Brute-Force Attacken auszunutzen.
Prüft daher manuell, ob installierte (vielleicht etwas ältere) Plugins im WordPress-Verzeichnis weiterhin existieren. Der Sicherheit zuliebe.