Sì, di solito funziona al contrario. Wordpress ha installato un plug-in non sicuro che consente di caricare ed eseguire uno script php. Questo può essere usato per attaccare il lato Magento delle cose, tra cui il download delle credenziali del database Magento, l'iniezione di account amministratore personalizzati nel database Magento, l'installazione del modulo di amministrazione file Magepleasure e degli script di raccolta delle informazioni sulle carte.
Ovviamente questa è una strada a doppio senso, se Magento è, per esempio, senza patch per il bug del shoplift, l'attaccante può usare una transazione POST per iniettare direttamente un account amministratore nel database Magento senza avere le credenziali Magento, accendere il Magento downloader, quindi installa il modulo di amministrazione file Magepleasure e, ancora una volta, esegui tutto ciò che desiderano sull'account utente.
Dipende totalmente da ciò che l'hacker vuole fare, l'infezione del computer probabilmente si ottiene meglio attraverso un blog popolare, anche se l'ultimo colpo su Magento è stato l'utilizzo di un account shopper SUPEE-5344 creato per gli account admin o le installazioni di Magento non sono state ancora correttamente riparate per le varie vulnerabilità per iniettare il pacchetto di infezione GuruIncSite nel footer di Magento. Magento è ovviamente di interesse diretto per il semplice vecchio cliente e il furto di informazioni sulle carte di credito.
Per reiterare, se un modulo di plugin per EITHER Wordpress o Magento è vulnerabile agli attacchi, allora entrambe le applicazioni possono essere compromesse.