Jetzt gehts aber Schlag auf Schlag; gerade erst kam das 2.8.5 Update und jetzt schon wieder ein Security-Release: WP 2.8.6.
Aus dem wordpress-deutschland.org-Blog:

Soeben wurde WordPress 2.8.6 veröffentlicht. Diese Version ist ein Sicherheitsrelease und behebt ein Problem, durch das auf bestimmten Apache-Installationen Dateien wie “foto.php.jpg” als Code ausgeführt werden können.
Das Problem tritt unter bestimmten Einstellungen des Apache-Webservers auf, wenn in der Konfiguration “AddHandler application/x-httpd-php .php” eingesetzt wird (allerdings ist AddType, dass z.B. bei Strato zum Einsatz kommt, unbetroffen). Des weiteren wurden eine XSS-Lücke geschlossen.

Jetzt darf ich erneut 17 Blogs aktualisieren... super. *nerv. Mal schauen, ob ich manuell, automatisch und/oder mittels des Updatepakets aktualisiere. Hm.