Я так понимаю, это случилось у многих более-менее популярных WP-сайтах, не успевших вовремя обновиться до патча 4.2.3.
Судя
по описанию к этому обновлению, именно такую дыру оно и закрыло.
UPD от 4 августа: вышел
фикс 4.2.4, исправляющий три уязвимости межсайтового скриптинга и возможность SQL-инъекции (CVE-2015-2213). Подробнее
здесь. Думаю, теперь можно спать спокойно...
