Lo que sucede, es que se trata de una nueva vulnerabilidad de Wordpress que afecta incluso hasta la última versión disponible hasta el día de hoy (la 2.8.3).

Todos pueden resetear una contraseña de cualquier blog en Wordpress, sin necesidad de conocer ni el nombre de usuario, ni el correo electrónico asociado a la cuenta!

Basta que pongan lo siguiente en la barra de direcciones: nombrededominio.com/wp-login.php?action=***key[]=

( edite 3 caracteres por si hay algún malandrin dando vueltas... )

Esto, reseteará el password de las cuentas asociadas en Wordpress, sin pedir ninguna confirmación.

Si bien no es una manera de ganar acceso al blog, este exploit permite que cualquier persona simplemente deshabilite las cuentas de los usuarios en Wordpress,

De momento, incluso la versión 2.8.3 –la más reciente- ya se ve la actualización a 2.8.4 en algunos tableros

Para solucionarlo de manera temporal, tenemos que abrir los archivos de configuración de Wordpress en nuestro servidor, ubicar wp-login.php, dirigirnos a la línea 190 y cambiar

if ( empty( $key ) )

Por

if ( empty( $key ) || is_array( $key ) )