Ich kann jeden WordPressanwender nur *eindringlichst* empfehlen, auf die neueste Version (en|de) zu aktualisieren.

Im Zuge der Nachforschungen zu den momentanen WP-Exploits bin ich über dieses Ticket auf trac.wordpress.org gestolpert.
Darin wird erläutert, wie einfach ein Angreifer auf älteren WordPress-Installationen an eine User/Password Kombination herankommt:

(...) With read-only access to the WordPress database, it is possible to
generate a valid login cookie for any account, without resorting to a
brute force attack. This allows a limited SQL injection vulnerability
to be escalated into administrator access. (...)

Das krasse dabei ist: Er muss dazu nicht das Passwort kennen, es ...