WordPress (en su última versión, 2.0.2, y probablemente en las anteriores) es susceptible a la inyección y ejecución de código PHP arbitrario si está disponible el libre registro de usuarios.
Mientras no existe parche hay que desactivar el registro de usuarios o bien limitar (con un .htaccess) el acceso a los directorios users y userlogin dentro de wp-content/cache.
El descubridor ha publicado un exploit que inyecta código en la caché y crea un fichero llamado suntzu.php, que es una puerta trasera al sistema.
Fuente: kriptopolis
No habra nuevos registros hasta que salga el parche, por seguridad.