Das geschah aus Sicherheitsgründen, nachdem Manipulationen an drei populären Wordpress-Plug-ins entdeckt worden waren. In neu hochgeladenen Versionen von "AddThis" (Social Sharing), "WPtouch" (automatische Smartphone-Anpassung) sowie "W3 Total Cache" (Performance-Tuning) hatten Angreifer gestern offenbar "clever getarnte Backdoors" eingebaut, wie Chefentwickler Matt Mullenweg im Wordpress-Blog berichtet.

Die betroffenen Plug-ins wurden zunächst auf den vorigen Versionsstand gebracht und dann mit neuen, geprüften Releases erneut als Updates veröffentlicht (damit auch die Nutzer diese erhalten, die zwischenzeitlich die Hintertür-Varianten eingespielt hatten). Die Betreiber entschieden überdies, alle Passwörter auf wordpress.org zurückzusetzen. Diese braucht man beispielsweise zur Anmeldung beim Forum und Trac oder um neue Versionen von Plug-ins und Themes einzuchecken. Neben wordpress.org sind auch die Schwesterprokekte bbpress.org und buddypress.org betroffen.

Nutzern rät Mullenweg, nie dasselbe Passwort für unterschiedliche Services zu verwenden und nach dem Reset nicht das bisherige Passwort neu einzutragen. Außerdem sollte jeder, der möglicherweise die gefährlichen Plug-ins installiert haben könnte, umgehend auf die neuesten Versionen von AddThis, WPtouch und W3 Total Cache aktualisieren.