Всего через неделю после выпуска большого релиза WordPress 5.0 разработчики самой популярной в мире CMS выпустили патч, закрывающий ряд серьезных уязвимостей. Всего было закрыто семь брешей, самая серьезная в некоторых конфигурациях WordPress делает возможной индексацию поисковыми системами страницы активации нового пользователя. В URL страницы содержится ключ активации, из-за чего становится возможной утечка email-адресов пользователей, а в некоторых случаях — еще и паролей, сгенерированных автоматически.

Проблема была решена путем переноса идентификатора из URL в cookie. Уязвимость также затрагивает версию 4.х — для тех, кто по каким-то причинам не готов переходить на WordPress 5.0, выпущена версия 4.9.9. Еще три уязвимости класса XSS теоретически позволяют уже зарегистрированным пользователям WordPress повысить привилегии, в одном случае — благодаря редактированию комментариев администраторов. Также была закрыта уязвимость в PHP, позволяющая указать произвольный путь сохранения при загрузке файла.
Ссылка

ну хотя бы молодцы, что быстро отреагировали и сообщество помогло

Новые обновления выходят оперативно, так что да проблема временная, уже вышло обновление 5.0.3

Мне повезло, успел обновиться, а у друга сайт взломали. Хорошо, что бэкап был и все восстановили.

Если не устанавливать темы и плагины сомнительного происхождения то не чего не пробивается

Устанавливать плагины и темы только из проверенных источников и проблем не будет