Да, на самом деле это уязвимость.Wordpress недавно исправил уязвимость , приводящую к удаленному выполнению кода *1002*.Для исправления уязвимости, связанной с кликджекингом, вы аннулируете доступ к iframe.
Чтобы заставить iframe работать, вам нужно изменить заголовок HTTP x-frame-options, который устанавливается WordPress.Вы можете изменить этот заголовок на «same-origin», что позволяет iframe из того же домена.Или вы можете добавить свой домен в этот список.
НЕ СНИМАЙТЕ x-frame-options ЖАТКУ.