Dem Download-Server von wordpress.org ist das passiert, was man wohl als GAU bezeichnen darf: ein unbekannter Cracker hatte sich Zugang verschafft und die dort abgelegte Version 2.1.1 mit Codeänderungen versehen, die potentielle Sicherheitslücken darstellen.
Wer in den letzten 3-4 Tagen die englischsprachige Version geladen hat ist somit angreifbar und muss dringend auf die neu verfügbare (und sichere) Version 2.1.2 updaten; die deutsche Lokalisation war nicht betroffen, da diese anderweitig gehostet wird, ebenso ist die alte Versionschiene 2.0 sauber.
Wer die Möglichkeit hat (sei es als Hoster oder als Selbstschrauber) sollte als Sofortmaßnahme bis zum Update Zugriffe auf theme.php und feed.php unterbinden und alle HTTP-Anfragen mit den Zeichenfolgen ix= oder iz= blocken.
Ein lokalisiertes Update-Paket der deutschen Version ist zum Download bereit, ebenso die englischsprachige Version.
Nähere Informationen zu den Vorgängen gibt es im deutschen WordPress-Blog.