Багатокористувацький режим
До версії 3 WordPress підтримував один блог для кожної установки, хоча кілька паралельних копій могли запускатися з різних каталогів, якщо вони налаштовані на використання окремих таблиць бази даних. WordPress Multisites (раніше званий Multi-User, MU або WPMU) був дистрибутивом, створеним для забезпечення можливості існування декількох сайтів в рамках однієї установки, які можуть управлятися централізованим супроводом. Ця версія дозволяє розміщувати свої власні блоги, а також контролювати і модерувати їх з єдиної панелі. WordPress MS додає вісім нових таблиць даних для кожного блогу.
Уразливості
Багато проблем з безпекою були виявлені у програмному забезпеченні в різний час, особливо у 2007, 2008 і 2015 роках. Згідно з аналітичними даними, «Вордпресс» у квітні 2009 року мав сім неусунутих вразливостей (з 32 загальновідомих). Особливо це стосувалося сайтів на безкоштовному хостингу з CMS WordPress.
Крім того, в січні 2007 року багато високопрофільні блоги, розкручені за допомогою пошукової оптимізації (SEO), а також запущені з участю AdSense, були прицільно атаковані. Окрема уразливість на одному з серверів дозволила зловмиснику впровадити відкритий код для деяких завантажень WordPress 2.1.1. В наступної версії движка ця проблема була вирішена, і розробник рекомендував всім користувачам негайно оновитися.
У травні 2007 року дослідження показало, що 98 % блогів WordPress, які були запущені кількома роками раніше, були малопридатними для використання, оскільки вони використовували застарілі і підтримуються версії програмного забезпечення. Щоб усунути цю проблему, розробники зробили оновлення набагато простіше – «одним натисканням» автоматизованого процесу, починаючи з версії 2.7 (випущеної в грудні 2008 року). Тим не менш параметри безпеки файлової системи, необхідні для включення процесу оновлення, можуть нести додаткові ризики в плані безпеки.
В червні 2013 року було виявлено, що деякі з 50 найбільш завантажуваних плагінів WordPress були уразливі для звичайних веб-атак, таких як SQL-впровадження та XSS. Окрема перевірка 10 найкращих додатків для електронної торгівлі показала, що сім з них були небезпечними. У прагненні підвищити надійність і спростити процес оновлення WordPress 3.7 були введені автоматичні оновлення фону.
Окремі установки «Вордпресс» можуть бути захищені плагінами безпеки, які запобігають відображення даних користувачів, приховують ресурси і перешкоджають зависання. Користувачі також можуть захищати свої установки движка, роблячи такі кроки, як оновлення всіх версій самого движка, тем і плагінів, використання тільки довірених додатків, редагування файлу .htaccess сайту для запобігання безлічі типів атак і блокування несанкціонованого доступу до конфіденційних файлів. Сучасні керівництва включають в себе різні кроки, у тому числі, і вчинення дій, спрямованих на те, як приховати CMS WordPress, щоб тип рушія було неможливо визначити.
Особливо важливо оновлювати плагіни WordPress, тому що потенційні хакери можуть легко перерахувати всі розширення, які використовує сайт, а потім запустити сканування для пошуку будь-яких вразливостей проти них. Якщо такі виявлені, вони можуть бути використані для завантаження зловмисниками своїх власних файлів (наприклад, PHP скрипта-оболонки), які збирають конфіденційну інформацію.
Розробники можуть також використовувати інструменти для аналізу потенційних прогалин, у тому числі WPScan, WordPress Auditor і Sploit Framework, розроблені 0pc0deFR. Ці типи інструментів досліджують відомі уразливості, такі як CSRF, LFI, RFI, XSS, SQL-впровадження і так далі. Однак не всі прогалини можуть бути виявлені інструментами, тому рекомендується перевіряти код плагінів, тим і інших надбудов від інших розробників.
У березні 2015 року багато експертів з безпеки і пошуковим системам повідомили, що SEO плагін для WordPress під назвою Yoast, який використовується більш ніж 14 мільйонами користувачів у всьому світі, має вразливість, яка може призвести до зламування, при якому хакери можуть робити сліпі SQL-впровадження. Щоб виправити цю проблему, розробники відразу ж впровадили нову версію 1.7.4 того ж розширення, щоб уникнути будь-яких перешкод в мережі із-за збою в безпеці.
У січні 2017 року експерти виявили уразливість в API-інтерфейсу WordPress REST, яка дозволила б будь-який не пройшов перевірку автентичності користувачеві змінювати яку-небудь електронну пошту або сторінку на сайті з WordPress 4.7 або вище. Після повідомлення про це розробників движка протягом шести днів був випущений высокоприоритетный патч до версії 4.7.2, який усунув проблему.
