Comme j'ai lu qu'un bon nombre utilisaient wordpress :le plugin jetpack vient d'être reconnu à risque. Il permet via les commentaires d'injecter du code sur les sites (javascript) et donc faire exécuter du code malicieux sur les lecteurs de vos site.
Pour info à ceux concernés.
Le fix est apparu sur la version 4.0.3