No tengo muchas ganas de escribir, la cosa está jodida. No es broma hágan esto URGENTE:
En el archivo wp-login.php hay que agregar una comprobación is_array( $key ) para verificar que es un array.
Cambien la linea 190:
if ( empty( $key ) )
Para que quede de esta manera:
if ( empty( $key ) || is_array( $key ) )
Con lo cual ya no se podría hacer el reset de la pass sin antes verificar mail o user de administrador.
Más detalles acá http://blog.altosec.com.ar/2009/08/woprdpress-bug-remote-admin-reset-password/
UPDATE: Pueden usar Enigform, de mi amigo el Buanzo para evitar este tipo de cosas. Más info acá.
¡Hasta la próxima!
Si te gustó esta nota, podés invitarme una cerveza en agradecimiento. Y algún día quizá pueda yo invitarte una :D