Gegenwärtig wird WordPress 4.0.1 ausgegeben, das kritische Sicherheitslücken schließt. Im Zweifelsfall soll bis dahin ein Schadcode als Kommentar ausgereicht haben. Wenn dieser in der Warteschlange landete, wurde er ausgeführt, sobald man als Admin den Kommentarbereich besucht. Anschließend könnte der Angreifer das Admin-Passwort ändern und neue Adminkonten anlegen sowie weitere schädliche Aktionen ausführen.

Neben WordPress ist auch das Plug-In WP-Statistics gefährdet.

Für weiterführende Informationen verweise ich wieder einmal auf heise online.