Resulta que WordPress 2.83 tiene un bug con el que se puede resetear las contraseñas de manera muy sencilla, sin necesidad de confirmación.

Entonces los chicos se pusieron a jugar un poco:

En primer lugar empezaron con Hipertextual y su red de blogs. Claro que no solo fue eso sino que al parecer tiene un poco DDOS también.

Siguieron con puntogeek según dice juanguis.

Y por ultimo uberbin pero amartino se lo toma mejor :p

¿Como sigue esto?

Con una nueva actualización de seguridad de WordPress… un versión bastante movida parece.
Actualizacion

A pitonizza tambien le dieron.

Y Fernando Tellado ya publico la solucion al problema.

Solo hay que modificar el archivo wp-login.php que normalmente esta en la raiz del dominio (o en la carpeta donde este el blog) y cambiar la linea que dice:

if ( empty( $key )  )

Por

if ( empty( $key ) || is_array( $key ) )

Yo ya lo hice ¿y ustedes?

Actualizacion 2

El arreglo este a mi no me funciono, asi que estoy intentado bajarme la versión modificada del archivo desde http://core.trac.wordpress.org/changeset/11798?format=zip&new=11798 pero no quiere funcionar.

En efecto descargando desde ahi ya no funciona el coso ese.