WordPress je izdao novu inačicu 4.0.1, koja sadrži zakrpe za osam kritičnih ranjivosti i 23 sigurnosna nedostatka (bugs). Tri kritične XSS (cross-site scripting) ranjivosti pogađaju inačice od 3.0 do 3.9.2, a potencijalni napadači mogu ih iskoristiti za kompromitiranje web sjedišta umetanjem JavaScript koda u određena text polja, točnije, “comment boxes” na postovima i stranicama WordPressa, koje inicijalno ne zahtijevaju autentikaciju. Umetnuti JS kod izvršava se prilikom pregleda komentara, bilo na blog postu, web stranici, ili sekciji “Comment” administrativnog Dashboarda. Ako komentar pregledava administrator bloga tada zlonamjerna skripta izvodi operacije s administratorskim privilegijama, što za posljedicu ima prikriveno preuzimanje korisničkog računa administratora, a time i stjecanje razine pristupa operacijskom sustavu koji udomljuje WordPress. Smatra se da su ovo najozbiljnije prijavljene ranjivosti jezgre WordPressa od 2009. Preostale ranjivosti mogu biti iskorištene za navođenje korisnika na mijenjanje njihovih lozinki izvođenjem CSRF napada, uskraćivanje usluge prilikom provjere lozinki, kreiranje HTTP zahtjeva s ranjivog poslužitelja (SSRF napad) te kompromitiranje korisničkog računa. Prema statistici WordPressa do 20. studenog 2014, oko 86% WP-ova je bilo ranjivo, a u vrijeme objave ranjivosti taj se broj popeo na oko 90%. Približan broj ukupnih WordPress webova na internetu je nekoliko desetaka milijuna. Svim se korisnicima savjetuje nadogradnja WordPressa izdanim programskim rješenjima.