WordPress 2.8.3 : correctif pour le reset du password

Une courte note pour les blogueurs sous WordPress 2.8 qui seraient victimes du reset de compte admin à répétition apparu sur la toile aujourd’hui.

Pour rappel, un bug fait que la simple consultation de l’adresse http://votredomaine.tld/wp-login.php?action=rp&key[]= envoie un nouveau mot de passe pour le premier utilisateur rencontré (souvent l’admin) sans demander de confirmation ni même l’adresse mail de ce compte.

Le correctif officiel vient d’être fourni par l’équipe de WordPress, il faut donc modifier le fichier wp-login.php en remplaçant la ligne :

if ( empty( $key ) )

Par :

if ( empty( $key ) || is_array( $key ) )

Vous trouverez ça sur le TRAC de WordPress et pouvez même télécharger directement le fichier corrigé.

Si vous n’avez pas de problème, une mise à jour devrait sûrement arriver d’ici peu.

Edit : la version 2.8.4 est déjà sortie!