WordPressカスタマイズも、別にちゃんとコード書けば良いんだけど、ネットから拾ってきたコピペコードで対処するパターンをよく見かけて、そういう所でセキュリティ的なアレが発生している感じする。