Et populært sikkerhedsplugin til WordPress, kendt som "All-In-One Security (AIOS) - Security and Firewall", er blevet fundet til at gemme brugernes adgangskoder i almindelig tekst i databasen. Udvikleren leverede en opdatering tre uger efter, at brugerne begyndte at klage, men denne opdatering ser ud til at forårsage webstedsproblemer. Pluginnet fungerer som en webapplikations firewall. Det giver forskellige sikkerhedsfunktioner til login-processen, herunder to-faktor-godkendelse og lockouts efter et vist antal forkerte login-forsøg.
Pluginnet er installeret på over en million WordPress-websteder. For tre uger siden opdagede en bruger, at pluginnet gemmer brugernes loginforsøg i klartekst i databasen. Oliver Sild fra sikkerhedsfirmaet Patchstack sagde, "Det er sikkert, at hackere vil indsamle loginoplysningerne fra logfilerne for kompromitterede websteder, der bruger plugin'et. Udvikleren har ikke engang bedt brugerne om at ændre alle deres adgangskoder."
Den 10. juli blev version 5.2.0 af pluginnet frigivet, men det forårsagede "fatale fejl" på websteder. Efterfølgende blev en ny version med en rettelse udgivet sidste onsdag, men det er brugere klager stadig om defekte hjemmesider. Ud af over en million websteder, der bruger plugin'et, kører kun omkring 525,000 de versioner, hvor problemet er blevet løst. Dette indebærer, at omkring en halv million websteder stadig logger på loginforsøg.