86's world

昨天就看到了，本来没当一回事，结果半夜收到了系统发的密码重置邮件…..虽然没有让人获得密码，但还是被吓了一跳。马上去删admin帐号….. 下文引自：http://e-spacy.com/blog/wordpress-admin-passort-reset-bug.html 几个小时前在WordPress trac上发布了一个修复WordPress 2.8.x漏洞的信息Changeset 11798。此漏洞可以允许任何人通过wp-login.php的登录界面来重置Admin账户的密码。 具体修改方法如上图，即打开wp-login.php文件，修改第190行，由原来的if ( empty( $key ) ) 改为 if ( empty( $key ) || is_array( $key )) 虽然别人可能不会同时盗取了你用于重置密码的邮箱账户，但风险总是有的，所以希望所有使用WordPress 2.8.x版本的同学及时修改。