Sé que muchos de los bloggers que trabajan con WordPress (WP) no se han decidido aún a actualizar a la última versión y esperan, con buen criterio, a que aparezcan los primeros agujeros y se libere una nueva versión corregida. Nada que objetar, porque yo mismo lo he hecho en varias ocasiones. Al ritmo que va el desarrollo del cms, uno casi nunca se puede fiar de las versiones recién liberadas. Sin embargo, la cosa de la seguridad se pone cruda, especialmente en lo que se refiere a inyección de códigos maliciosos en los blogs, tanto que Google ha comenzado a tomar cartas en el asunto, reduciendo a cero el PageRank (PR) y dejando de indexar los sitios infectados y el propio padre de WordPress, Matt Mullenweg, hace un llamamiento dramático para que todo el mundo se actualice y se proteja ante este tipo de ataques.
Yo mismo he sufrido este tipo de ataque en Mangas Verdes. Hace unas semanas algunos lectores me avisaron de que algo raro pasaba con la página y que los antivirus cantaban ‘La traviata’ al acceder. Paralelamente a esto, llegó el castigo con una bajada del PR de http://mangasverdes.es a cero patatero (no así en www.http://mangasverdes.es ni http://mangasverdes.es/index.php, por ejemplo). Andaba con WP 2.3 en aquella época, y descubrí que, efectivamente, algún saboteador había añadido un script al ‘index.php’ del directorio principal. No te asustes, el script fue eliminado sobre la marcha y ahora ya corremos con WP 2.5. No obstante, sigo en conversaciones a ver si convenzo a Google para que me devuelva el PR 
El caso es que tampoco parece que la nueva actualización de WP sea cuestión de días, como parecía habitual hasta la fecha, sino que tardará al menos tres semanas, que es lo que marca el Trac de WP. Así que desde aquí te recomiendo, al igual que Matt, que no tientes a la suerte y actualices. El proceso es bien sencillo, las ventajas son enormes y la práctica totalidad de los plugins ya se encuentran adaptados.
Y ya que hablamos de WP, no te pierdas los problemas legales de WordPress.com en Brasil.