Wordpress 2.8.3 – Reset de password Intempestif
Publié le 12 août 2009 par Dictege
Hier à plusieurs reprises j’ai été victime du reset du mot de passe de mon compte admin. A priori, il s’agirait d’un bug de la version 2.8.3 qui par la simple consultation de l’adresse http://votredomaine.tld/wp-login.php?action=rp&key[]= envoie un nouveau mot de passe pour le premier utilisateur rencontré (souvent l’admin) sans demander de confirmation ni même l’adresse mail de ce compte.
Le correctif officiel fourni par l’équipe de WordPress, demande modifier le fichier wp-login.php en remplaçant la ligne :
if ( empty( $key ) )
Par :
if ( empty( $key ) || is_array( $key ) )
La version 2.8.4 qui vient de sortir corrige également ce problème. Mais attention, ne faites pas comme moi une mise à jour en ligne, préférez la mise à jour par FTP !