Dieses beseitigt eine von Jeremias Reith gemeldete XSS-Sicherheitslücke (Cross-Site Scripting, die allerdings nur WordPress-Installationen auf IP-basierenden virtuellen Servern mit Apache 2.x betrifft. Daneben werden noch weitere kleinere Fehler behoben, die allerdings nicht sicherheitsrelevant sind. Die Versionsnummer 2.6.5 wurde gewählt, um Verwechselung mit einem in Umlauf geratenes, nicht offiziellen Release 2.6.4 zu vermeiden.
Wer bereits eine Beta der kommenden WordPress-Version 2.7 verwendet, ist offenbar nicht von der XSS-Lücke betroffen. Zumindest gibt es weder eine neue Betaversion (aktuell ist die Beta 3) noch einen diesbezüglichen Hinweis.