Hay que tener cuidado. Se ha detectado una pequeña vulnerabilidad en Wordpress.

Las entradas pasadas a la variable “PHP_SELF” no se limpian de forma adecuada antes de mostrarse al usuario. Esto puede emplearse para ejecutar HTML arbitrario y código script en el navegador del usuario.

El problema se ha corregido en las versiones 2.0.10-RC2 y 2.1.3-RC2. Descargar aqui.
Via Hispasec. Mas información aqui