Letzten Endes gelingt doch diese Phishing-Kampagne nur, weil die eigentliche WordPress-Instanz nicht sicher ist! Der Bedrohungsakteur greift mit Brute-Forces in bestehende, nicht böswillige WordPress-Sites ein und injiziert dort sein Phishing-Kit, um die Umgehung aufrechtzuerhalten.
Ich sehe da die Verantwortung erstmal bei den Eigentümern der WordPress-Sites und nicht unbedingt bei Paypal…