Wie auf Golem.de zu lesen ist gibt es bis zur Version 2.8.3 von WordPress eine Sicherheitslücke die es Angreifern ermöglichst das PW des Admins zurückzusetzen. Man kommt zwar als Angreifer nicht an den Account bzw kann nichts ändern, der Admin kommt aber auch nicht mehr ins System. Einen Fix in Form von neuen Dateien gibt es nicht, der Einbau des vorhandenen Fixes ist jedoch sehr einfach.
Einfach in Zeile 190 der wp-login.php
if ( empty( $key ))
gegen
if ( empty( $key ) || is_array( $key ) )
ersetzen