Vous reprendrez bien une dose de plugins WordPress vérolés ? Cette fois, c’est un anti-spam populaire qui s’y colle, avec pas une, mais deux failles critiques à patcher d’urgence.
« évitez d’installer des extensions peu utilisées et/ou peu mises à jour, pour éviter tout risque failles non patchées, voire de plugins intentionnellement malveillants. »
Un plugin intentionnellement malveillant qui n’est pas mis à jour depuis longtemps ne devrait plus être disponible, non ?
Sinon une plugin avec une vrai volonté de malveillance ne devrait il pas être mis à jour très régulièrement pour contourner les faille qui se répare à droite à gauche ?
Les utilisateurs ont la possibiltié d’uploader un module manuellement avec un .zip, donc pas de contrôle de wp là dessus.
Enfin, pour l’autre remarque, les éditeurs doivent vérifier leur code et le réviser (en faisant une mise à jour) régulièrement. Les éditeurs sérieux le font. Enfin, il faut que l’agence fasse les mises à jour en temps et en heure.
Il y a un mode « mise à jour automatique » pour les modules, mais d’expérience cela occasionne des plantages quand l’install se passe mal ou qu’il y une incompatibilité avec le code custom ou d’autres modules
J’adore ces failles 
