また、被害状況として、WordPressのプラグインやテーマの脆弱性を利用し、不正なファイルがアップロードされ、そのファイルを利用してwp-config.php（WordPressの設定情報が書き込まれたファイル）の設定情報が抜き出されることにより、データベースの書き替えが行われ、WordPressサイトが改ざんされたと説明している。

ikeasiの日記

ロリポップ！の改ざん被害、WordPressプラグイン／テーマの脆弱性から侵入→ロリポップ！の設定不備を利用される -INTERNET Watch