Resulta que WordPress 2.83 tiene un bug con el que se puede resetear las contraseñas de manera muy sencilla, sin necesidad de confirmación.
Entonces los chicos se pusieron a jugar un poco:
En primer lugar empezaron con Hipertextual y su red de blogs. Claro que no solo fue eso sino que al parecer tiene un poco DDOS también.
Siguieron con puntogeek según dice juanguis.
Y por ultimo uberbin pero amartino se lo toma mejor :p
¿Como sigue esto?
Con una nueva actualización de seguridad de WordPress… un versión bastante movida parece.
Actualizacion
A pitonizza tambien le dieron.
Y Fernando Tellado ya publico la solucion al problema.
Solo hay que modificar el archivo wp-login.php que normalmente esta en la raiz del dominio (o en la carpeta donde este el blog) y cambiar la linea que dice:
if ( empty( $key ) )
Por
if ( empty( $key ) || is_array( $key ) )
Yo ya lo hice ¿y ustedes?
Actualizacion 2
El arreglo este a mi no me funciono, asi que estoy intentado bajarme la versión modificada del archivo desde http://core.trac.wordpress.org/changeset/11798?format=zip&new=11798 pero no quiere funcionar.
En efecto descargando desde ahi ya no funciona el coso ese.
Me siento grande entre los grandes, a Hipertextual atacan y a Pitonizza también. ¡Nunca lo habría soñado!
Alabado sea Fernando Tellado y Ferticidio, gracias por la alerta.
Fernando, por lo que veo en el fichero del trac no está cambiada la línea. No he tenido tiempo de revisarlo línea a línea ¿lo has probado?
Pingback: Reinicio de contraseña de admin en WP 2.8.3 y previas (actualizado) | Ayuda WordPress
Si lo probe y anda bien ahora sale el mensaje de invalid key con el archivo como decias vos no andaba. Igual puede ser un error mio.
a mi me anda bien, igualmente ya salio la version nueva para descargar.
Igual no hay peligro, nunca fué “peligroso” el bug. La versión 2.8.2 también tiene el bug, es la que corría yo en PG.
Saludos
Si no era peligroso pero me gustan los titulos extremistas
Jajaja, igual me refiero a que todos lo comentaron como algo grave y no es para tanto, ya que el nuevo pass siempre llega a la casilla del dueño de la cuenta.
Por suerte no me dieron =) y ya me actualice
Espero no haya más agujeros de seguridad tan graves.
En realidad no era un bug tan grave… solo al fin y al cabo recibiamos la contraseña en nuestro mail.
Ferticidio, como estas?, sirve el login zipeado que posteaste? deberia cambiar por ese login ? porque no me animo a tocar el codigo, espero tu respuesta salvadora.. Entro a tu blog seguido, es claro y didactico para mi, gracias !