Вчера была обнаружена уязвимость благодаря которой, особым образом сформированный URL позволял атакующему обойти проверку пользователя, запросившего сброс пароля. В результате для первой учётной записи без ключа активации в базе данных (обычно это запись администратора) сбрасывался пароль и на электронный ящик отправлялся новый. Получить удалённый доступ с помощью этой ошибки нельзя, но и приятного тоже мало.
Сегодня ночью после устранения проблемы продолжалось тестирование исправлений и поиск других возможных ошибок. Доступна для скачивания версия 2.8.4, которая исправляет все известные проблемы и настоятельно рекомендуется каждому пользователю WordPress.
А каким образом надо сформировать урл чтобы сбросить пароль? Или Вы специально не написали, чтобы школьники не баловались?