Bueno, la version 3.5 e inferior tuvo un fallo grave que permitia muchas cosas importantes entre ellas lograr acceso a wp-admin
Yo reaccione un poco tarde ya cuando tenian shell en varios dominios.
Y todo inicio con un "alojado de paga"
Es importante tener la funcion correcta deshabilitada en php.ini porque la shell que utilizan ellos se saltan algunas protecciones para esto
yo los tengo tratando de defacearme mas webs desde hace 3 horas. ahorita andan doseandome porque los detecto rapido.
ahora lo que no se.. es que si estan vulnerando la version 3.6... ya que muchos blogs que a mi tambien me afectaron ya estaban actualizados. "pudieron afectar desde la shell, aunque no hay rastro de ello"
No fui el unico. por ahi afectaron a unos 10 dominios de juegos que estaban en un servidor que tiene un proveedor de hosting que mencionan mucho.
si tienen un blog abandonado que no use.. y esten en servidor compartido recomiendo que lo actualizen si no afectaran a 3eros