En kritisk sårbarhet har upptäckts i alla versioner av WordPress på grund av avsaknaden av en kryptografiskt säker pseudorandom nummergenerator (CSPRNG). Forskaren Scott Arciszewski rapporterade problemet för åtta månader sedan men har fått begräNSAd respons från WordPress-utvecklarna. Sårbarheten kan potentiellt tillåta angripare att förutsäga lösenordsåterställningstokens och ta över användarkonton. Arciszewski har utvecklat en patch för problemet, men den har ännu inte integrerats i WordPress. Han varnar för att sårbarheten kan bli mer utnyttjbar över tid och kan vara av intresse för underrättelsetjänster.