Existen múltiples fallos de tipo XSS y CSRF que afectan tanto la versión en desarrollo como a toda la rama 2.x (2.0.x, 2.1.x, 2.2) de Wordpress. A diferencia de los reportes anteriores donde ponía a disposición soluciones temporales, esta vez por falta de tiempo y porque los archivos afectados no son imprescindibles para el funcionamiento de un blog, recomiendo que eliminen todos los archivos que se encuentran en wp-admin/import/ puesto que la mayoría de esas páginas son vulnerables.
Me parece que este tipo de fallos van a seguir apareciendo en la siguiente versión mayor (2.2) de Wordpress, no sólo porque se agrega nueva funcionalidad, sino también porque muchos usamos plugins y temas vulnerables a XSS, CSRF e inclusive a Inyección de SQL. En mi opinión, mostrar al público los plugins instalados es jugar con fuego, ya que puede ser algo contraproducente para el autor del blog 
Nota: Para los curiosos, pueden ver las pruebas de concepto que envié al equipo de desarrollo de Wordpress.
.
Alex, gracias por el aviso. Ya elimine de el contenido de la carpeta /wp-admin/import.
Sobre las vulnerabilidades de los plugins y temas, es inevitable vivir con ellos, estos nos ofrecen más funcionalidad al blog y haciendo copias de seguridad con frecuencia podremos estar un poco más tranquila si surge algun contratiempo pero nunca se sabe.
eeeeeeeee
Bienvenidos a