Plus d’un million de sites WordPress auraient été infectés et compromis par les malwares Balada Injector depuis 2017, selon les chercheurs de chez Sucuri. Pour atteindre un tel nombre, toutes les failles connues des thèmes et des plugins auraient été exploitées.
