Od pewnego czasu szerzy się plaga złośliwego oprogramowania (wirusy, trojany) wykradającego hasła FTP z komputerów osobistych. Złapany przypadkowo wirus lub zainstalowany trojan wykrada hasło z komputera Windows, z którego logowano się do serwera FTP. Po sieci krążą również nieautoryzowane, zmodyfikowane wersje darmowego oprogramowania do FTP (np. Total Commander), które wykradają login i hasło. Istnieje również pewne ryzyko, że hasło FTP przesyłane w sposób nieszyfrowany może zostać przechwycone przez zainfekowany router użytkownika.
Następnie inny rodzaj oprogramowania, logując się wykradzionym, prawidłowym loginem i hasłem FTP z dowolnego miejsca na świecie podmienia stronę, doklejając do niej kod JavaScript, PHP lub HTML IFRAME, IMG. Zdarzają się też przypadki uszkodzenia kodu strony, zakłócającego jej poprawne działanie.
Zwykle w kodzie strony umieszczane są tzw. backdoory, które pozwalają hackerowi wykonywać dowolny program na serwerze, na każde jego żądanie. Modyfikacja strony często ma na celu również rozpowszechnianie linków do złośliwego oprogramowania, infekującego komputery kolejnych użytkowników sieci, którzy będą przeglądać zmodyfikowaną stronę za pomocą nieaktualizowanej lub niezabezpieczonej odpowiednio przeglądarki WWW. Nie można również wykluczyć innych ataków, bardziej celowanych w interesy właściciela strony, np. przechwytujących dane klientów z bazy danych obsługującej stronę.
Z punktu widzenia dostawcy usługi hostingu, serwer nie jest w stanie rozróżnić, czy operacja zapisania pliku z użyciem poprawnego loginu i hasła FTP jest operacją osoby uprawnionej, czy też operacją przeprowadzaną przez przestępców. Loginy i hasła zabezpieczające dostęp do strony pozostają pod kontrolą klienta - administratora strony i na kliencie spoczywa obowiązek ochrony ich tajemnicy, dbania o ochronę antywirusową na swoich komputerach itp.
Ze względu na fakt, iż doklejany kod jest modyfikacją kodu źródłowego, to najlepiej przygotowany do wyczyszczenia kodu strony z obcego oprogramowania jest autor kodu źródłowego strony . Obecnie nie jest dostępne żadne narzędzie, które pozwoli automatycznie i skutecznie wyczyścić taki kod.