WordPress est le CMS ( Content Management System) "Système de gestion de contenu" le plus utilisé de part le monde.  Le Wall Street Journal, Le Monde, et bien d'autres grands noms l'utilisent.
Le défaut de la cuirasse, c'est que le très grand nombre d'utilisateurs rend cet outil très attrayant pour les hackers.

Dans son fonctionnement standard, WordPress est mis à jour de manière régulière par l'équipe en charge de son développement. Ces mises à jour ont généralement pour but d'améliorer l'utilisation et les fonctionnalités de ce CMS.

Faut-il appliquer les mises à jour dès leurs publications ?

Oui ou non, c'est selon. Lorsque ces mises à jour ou changements de version ne concernent que les fonctionnalités, notre conseil est plutôt d'attendre que d'autres "essuient les plâtres" (comme on dit).
En effet, une nouvelle version est toujours sensible aux traditionnels bugs, mais surtout aux failles de sécurité.

En quoi les failles sont-elles dangereuses ?

Dans la pratique, selon le type de faille, un individu malveillant pourra effectuer divers types d'actions pouvant aller jusqu'à prendre intégralement le contrôle de l'outil.

En référencement (puisque nous sommes sensibles à cet aspect), le hacker pourra utiliser diverses manières de cacher des liens vers ses sites dans votre site. Certains exploitent tellement bien cette astuce que les propriétaires mettent parfois plusieurs mois à s'en rendre compte.

Bien évidemment, à la longue, Google ne va pas tellement apprécié les dizaines de liens pointant vers des sites destinés à la vente de pilules bleues ou autres sites d'affiliation poker. Votre site a donc toutes les chances d'être déclassé, voir blacklisté car vous utilisez (à votre insu) une technique interdite de liens cachés.

Le pire reste la réelle volonté de nuire et le hacker peut tout aussi bien supprimer toutes vos données laissant votre site intégralement vide.

Mais alors, quand faut-il faire les mises à jour ?

À moins que la mise à jour WordPress concerne justement la correction d'une faille de sécurité, attendez au moins un à deux mois et surveillez l'apparition de failles en visitant quelques blogs de sécurité informatique (en voici un : sécurité WordPress / plugins). Si tout semble bien se passer pour les autres utilisateurs, vous pourrez alors mettre à jour votre CMS en limitant grandement les risques. D'ailleurs, n'oubliez pas de le faire !

Attention, avant vos mises à jour, pensez toujours à bien sauvegarder vos bases de données et thèmes. Il serait idiot de tout perdre à cause d'une mauvaise manipulation.

À titre d'exemple, le 2 janvier 2012, une faille vient d'être découverte dans la version WordPress 3.3 qui était sortie le 13 décembre 2011. Elle n'est pas encore corrigée à l'heure ou nous écrivons cet article. Mieux vaut donc rester à la version précédente pour le moment.

edit : suite à un quiproquo, nous précisons bien évidemment que faire les mises à jour est indispensable pour bénéficier des dernières évolutions de l'outil et comme indiqué (maintenant mis en gras), il faut impérativement appliquer les mises à jour de sécurité, ne pas le faire serait suicidaire.