Después de leer este artículo de Ayuda Wordpress me he puesto a revisar todas las plantillas que hemos traducido y he podido comprobar que algunas están afectadas por este posible riesgo de seguridad.

Según leemos en Ayuda Wordpress:

Todo proviene de un código muy utilizado por los desarrolladores de themes que puede resultar en un ataque Cross Site Scripting (XSS), y es el uso de la variable PHP_SELF sin precederla de htmlspecialchars.

La solución que allí proponen tiene un fallo según parece, lo que debemos hacer es comprobar nuestra plantilla (normalmente los archivos header.php, search.php, searchform.php y por seguridad también 404.php) y buscar el siguiente código (si está):

<?php echo $_SERVER['PHP_SELF']; ?>

Y cambiarlo por el siguiente:

<?php echo htmlspecialchars($_SERVER['PHP_SELF']) ?>

Espero poder adecuar esta misma noche las plantillas que tenemos ahora mismo subidas para que incorporen este cambio. También incluiré una lista de las plantillas afectadas.

PD: otra solución que se apunta en los comentarios de Ayuda Wordpress por parte por ejemplo de aNieto2k es cambiarlo por la siguiente función, la cual parece más adecuada que la anterior:

Visto que realmente creo que esta es la mejor opción (de hecho así es como está en las plantillas que no estaban afectadas por este riesgo de seguridad) recomiendo que hagáis esta implementación en vez de la anterior, y de hecho voy a reprogramar las plantillas y volverlas a subir con ella.