Bereits gestern warnte Dr. Dave von Spam Karma vor einer Sicherheitslücke in der Blogging-Plattform WordPress:

Critical Announcement affecting ALL WordPress users:

If you are running WordPress as your blogging platform and if you have been trusting enough to leave User registration enabled for guests, DISABLE IT IMMEDIATELY (in wp-admin >> options: make sure “Anyone can register” is not checked).
Additionally, delete or disable ANY guest account already created by people you are not sure about.

Das Problem scheint sich heute zu bestätigen.

Um diese Sicherheitslücke zu umgehen sollte man in den Einstellungen die Option „Jeder kann sich registrieren“ ausschalten und verdächtige, bereits angemeldete User wieder aus dem Blog entfernen.

Laut Software Guide ist die Sicherheitslücke in der WordPress 2.0.4 beta Version bereits behoben. Diese ist zwar noch nicht offiziell herausgegeben, aber laut Software Guide stabil.
Weitere Informationen zum Thema gibt es im WordPress.de-Forum, beim S-O-S SEO Blog und in diesem Beitrag von Dr. Dave.