Tal y como podemos leer en Ayuda WordPress, se ha reportado una vulnerabilidad XSS explotable a través del plugin Jetpack para WordPress. Comprobad si se está ejecutando desde el navegador a través de tusitio.com/wp-content/plugins/jetpack/modules/custom-css/csstidy/css_optimiser.php.
En la fuente original se menciona un XSS en CSSTidy (css_optimiser.php) y se puede ver que data de julio de 2010...
Dicho fichero (más info en el trac) ha sido ya eliminado (borradlo en vuestro blog) el plugin funciona sin problemas.