Намедни была обнаружена уязвимость WordPress, позволяющая злоумышленнику запросить смену пароля пользователя, у которого в базе нет ключа активации (не было запросов «напоминания» пароля). Чаще всего таким пользователем оказывался admin — первый по списку. Уязвимость не критичная, т.к. пароль менялся на случайный, сгенерированный WP, и отправлялся на почту жертве.Но приятного в этом тоже мало, особенно если имеют место проблемы с почтой, что, увы, не редкость. В связи с этим была выпущена версия 2.8.4 с исправленным багом.

Тем, кто по каким-либо причинам не хочет переходить на новую версию, могу предложить небольшой хак. В файле wp-login.php, в самом начале, после <?php добавить строку

foreach ($_GET as $key=>$value) if (!is_string($value)) $_GET[$key] = '';