En su blog oficial WordPress reconoció que un hacker logró tener acceso total a algunos de sus servidores pero no dicen exactamente a cuales o que lograron acceder efectivamente... por ejemplo, no se sabe a ciencia cierta si pudieron acceder al código de los blogs o las claves de los usuarios que estan aseguradas con PHPPass
Como nota de seguridad y, es casi un ruego, todo aquel con cuenta en WordPress.com entre, cambie su contraseña lo antes posible, si la usaba en otro lado también cambienla, si tenían la API de algún servicio web (ej: Twitter/Facebook) en el código de su blog cambien las claves y no se pongan paranoicos pero la realidad es que usar solo una password en todos los sitios posibles es inseguro.
Consejo, como admite Matt, WordPress tiene hoy en día 18.000.000 de blogs y es un blanco atractivo para hackers así que usen una clave particularmente diferente a otras. ¿porque se pide cambiar contraseñas como primer medida? Porque no saben cuan extenso fue el ataque pero conociendo a Automattic confíen en que son mas paranoicos que ustedes ;)