Konunuzda bir takım hatalar mevcut.
Tüm wordpress siteler tehlikede değildi, yalnızca attachment düzenleme yetkisi olan kullanıcı kaydı açık ya da böyle kullanıcılar olan siteler tehlikedeydi. Yani site yazar alımı yapıyorsa veya üyelik sistemli bir temada üye abone olarak değil de yazar olarak kaydoluyorsa bu işlem yapılabiliyordu.
WordPress 4.9.7'de bu açık kapatıldı, wordpress site sahipleri wp sürümlerini güncelleyerek bu açıktan kurtulabilirler.