WordPress (en su última versión, 2.0.2, y probablemente en las anteriores) es susceptible a la inyección y ejecución de código PHP arbitrario si está disponible el libre registro de usuarios.

Mientras no existe parche hay que desactivar el registro de usuarios o bien limitar (con un .htaccess) el acceso a los directorios users y userlogin dentro de wp-content/cache.

El descubridor ha publicado un exploit que inyecta código en la caché y crea un fichero llamado suntzu.php, que es una puerta trasera al sistema.

Fuente: kriptopolis

No habra nuevos registros hasta que salga el parche, por seguridad.