Что я могу сказать. Я был в шоке Просто в шоке. По сути не делал и не пробывал, но говорят: “Несложным HTTP-запросом к блогу WordPress можно сбросить пароль администратора.” что можно как бы снести пароль админа. Да, хакер не зайдёт на блог и ничего больше не сделает, но вам, если вы не ведаете в базах и т.д. доставит УЙМУ проблем. Потому всем, у кого вордпресс СРОЧНО обновиться.

Для этого надо изменить в файлике /wp-login.php (он в корне сайта) найти строку (она вроде 190 о счёту) “if ( empty( $key ) ) ” за менить на ” if ( empty( $key ) || is_array( $key ) ) “. И тогда усё окай будет

П.С. Замети, что ..ахнуть можно любой WordPress вплоть до 2.8.3 (хотя на момент написания статьи видел, что можно обновить до 2.8.4, он то и устраняет данную уязвимость), но народ у нас тугой, пока носом не тыкнешь – толку мало.

Кто не верит смотреть здесь.