Das könnte hier manchen betreffen:

„Das WordPress-Plugin Captcha hatte eine Backdoor eingebaut, über die Betrüger auf WordPress-Seiten zugreifen können. Die Version 4.4.5 von Captcha soll die Hintertür nicht mehr enthalten.“

meldet heise.de

Ein Anbieter namens "Simplywordpress" habe mit

• Covert me Popup,
• Death To Comments,
• Human Captcha,
• Smart Recaptcha,
• Social Exchange

noch weitere mit einer Hintertür ausgestattete aber nicht über Plugin-Repositority von Wordpress verbreitete Plugins im Angebot wird von heise.de unter Berufung auf "Sicherheitsforscher von WordFence" behauptet und die zeitnahe Deinstallation der Plugins empfohlen. Das betroffene Captcha sei allerdings nach einem Update auf Version 4.4.5 (erst einmal) sicher, der Anbieter dürfe nur noch vom WordPress-Team abgesegneten Updates in das Repo einstellen.

Wenn ich den Artikel richtig verstehe, so handelt es sich bei "Simplywordpress" um eine Firma oder Person , die Wordpress-Plugins aufkauft und durch den Einbau der Hintertür in mindestens "höchst eigennütziger" und, naja "unerwarteter" Weise verändert. Allein das Problem mit dem Captcha-Plugin soll weltweit 300.000 Webseiten betreffen.

Soweit zur Benutzung "anerkannter und unterstützter Bibliotheken" ...