Byl vydán WordPress 4.0.1. Jedná se o kritickou bezpečnostní záplatu pro všechny předchozí verze a je důrazně doporučováno okamžitě toto CMS záplatovat. Opravuje totiž závažné chyby včetně XSS, CSRF či DoS zranitelnosti.
Nejkritičtější je chyba, která umožňuje anonymním uživatelům zneužít administrátorská práva. Útok je velmi jednoduchý a v podstatě stačí jen vložit komentář s škodlivým JavaScript kódem. Jakmile si tento komentář správce webu prohlédne v administraci WordPressu (tzn. že je přihlášen), dojde k jeho spuštění s potřebnými administrátorskými právy. Tímto způsobem může být např. vytvořen nový administrátorský účet. Tato chyba se týká pouze verze 3.9.2 a starší.
Kromě této chyby našli vývojáři WordPressu další tři bezpečnostní chyby XSS (Cross-site scripting), kdy mohli uživatelé s omezenými pravomocemi – Spolupracovník a Redaktor provádět nepovolené aktivity. Dále mohl útočník prostřednictvím CSRF (Cross-site request forgery) přimět uživatele, aby si změnili heslo.