Keine Spam, sondern ein Hinweis auf einen englischsprachigen Artikel im offiziellen WordPress-Blog [Archivversion]:

Dem WordPress-Sicherheitsteam sind mehrere laufende Phishing-Betrügereien bekannt, die sich sowohl als „WordPress-Team“ als auch als „WordPress-Sicherheitsteam“ ausgeben, um Administratoren davon zu überzeugen, auf ihrer Website ein Plugin zu installieren, das Schadsoftware enthält.

Das WordPress-Sicherheitsteam wird Sie niemals per E-Mail dazu auffordern, ein Plugin oder ein Theme auf Ihrer Website zu installieren, und es wird Sie niemals nach einem Benutzernamen und eine Passwort für einen Administratorzugriff fragen.

Wenn Sie eine unerwünschte E-Mail erhalten, die angeblich von WordPress stammt und ähnliche Anweisungen wie die oben beschriebenen enthält, ignorieren Sie die E-Mails bitte und weisen Sie Ihren E-Mail-Anbieter darauf hin, dass es sich bei der E-Mail um einen Betrug handelt.

[…] Weil WordPress das am häufigsten verwendete CMS ist, kommt es gelegentlich zu solchem Phishing. Bitte seien sie aufmerksam, wenn sie unerwartete E-Mails empfangen, in denen sie aufgefordert werden, ein Theme oder Plugin zu installieren oder die auf ein Anmeldeformular verlinken!

Wer eine Website mit WordPress betreibt: Bitte auf gar keinen Fall auf so ein Phishing hereinfallen!