In der aktuellen WordPress Version 2.8.3 kann ein Angreifer eine Schwachstelle ausnutzen, um den Admin auszusperren. Hierbei wird ein Fehler im Mechanismus für das Zurücksetzen des Passworts ausgenutzt. Bis ein Patch verfügbar ist, kann man die Lücke wie folgt schließen:
Öffnet in einem Editor die Datei wp-login.php in eurer aktuellen WordPress Installation. Springt zur Zeile 190 und ersetzt die Zeile
if ( empty( $key ) )
durch
if ( empty( $key ) || is_array( $key ) )
So sieht also der neue Codeblock aus:
if ( empty( $key ) || is_array( $key ) )
return new WP_Error(‚invalid_key‘, __(‚Invalid key‘));