Eben auf Heise gelesen:
Die aktuelle Version 2.8.3, sowie die vorherigen, von WordPress ermöglicht es Angreifern, Administratoren temporär aus dem System auszusperren.Ursache des Problems ist ein Fehler in der Funktion zum Zurücksetzen des Passworts in der Datei wp-login.php.
Eine Lösung des Problems ist aktuell nur durch manuelles Abändern der Datei wp-login.php möglich:
Ersetzt einfach die Zeile:
if ( empty( $key ) )
durch
if ( empty( $key ) || is_array( $key ) )
Und das Problem sollte der Vergangenheit angehören.
Solltet ihr bereits Opfer des Hacks geworden sein, so ist das “Emergency Password Reset Script” für WordPress zuempfehlen.
Update: 2009-08-13
Eine neue WordPress-Version ist erschienen (2.8.4), die die Probleme behebt.
