Для каждого, кто хоть раз сталкивался с WordPress, вполне очевидно, что сам по себе WP, голый, из коробки, для реального использования не очень пригоден и не очень удобен. Вся сила этого движка – в многочисленных плагинах, коих только в официальном репозитории насчитывается почти 18 тысяч. С их помощью можно превратить сайт на Вордпресс практически во что угодно: хоть в магазин, хоть в портфолио, хоть в википедию, хоть в доску объявлений. Но даже если мы остаемся в рамках традиционного блога, всё равно без некоторых плагинов просто не обойтись (особенно русскоязычному сайту), а некоторые существенно облегчают работу над сайтом и улучшат его вид и удобство использования.

Прочитал на Хабре, что в популярном модуле ресайза картинок timthump.php, который входит в большинство современных тем для WordPress, обнаружена критичная уязвимость. Злоумышленник может загрузить на сервер любой php-код.
Дырку обнаружил Марк Маундер на своем блоге.
А состоит она в следующем: в конфиге timthumb.php указаны несколько «доверенных» доменов (flickr.com, picasa.com, blogger.com, wordpress.com, img.youtube.com, upload.wikimedia.org, photobucket.com),с которых он может загружать картинки. Однако проверка передаваемого URL реализована с ошибкой, в результате которой можно загрузить на сервер шелл с адреса поддомена, совпадающего с доверенным доменов. Например, скрипт с адреса wordpress.com.hacker.com/shell.php будет пропущен, как доверенный, и загружен на сайт.
Радует только то, что для злоумышленник должен быть зарегистрирован на вашем блоге с правами создания постов и загрузки изображений.
Однако если у вас многопользовательский блог, советую скачать пропатченный файл timthumb.php.