Ludus, giusto per farti capire a grandi linee, ad inizio 2007 avevo messo online un WP per un cliente attivando pure un plugin per inserire animazioni flash all' interno di pagine e post.
Con una vulnerabilità nel codice del plugin, mi son visto defacciato la home ed uppato sul mio spazio host pure file e script a sua discrezione, tutto questo utilizzando la possibilità di "attaccare" a dei link che il plugin utilizzava per far visualizzare i filmati, codice e variabili che permettessero di fare altre operazioni oltre che estrapolare il filmato da quel link.
Boh spero di aver reso almeno un po l'idea del fatto che non serve per forza avere user e pwd del databse per defacciare oi arrecar danno ad un sito
