Actualización: ya está disponible WordPress 2.8.4
El investigador Laurent Gaffié ha detectado una vulnerabilidad que afecta a la última versión de WordPress 2.8.3, el fallo permite que un atacante pueda restablecer la contraseña del administrador sin tener una dirección de correo válida.
El restablecimiento de la contraseña bloquearía temporalmente el acceso a la cuenta, pero no la comprometería.
Si bien aún no hay una nueva actualización de la plataforma, la solución para mitigar el problema es bastante simple y sólo se debe modificar una linea de código en el archivo wp-login.php.
Si el acceso a la cuenta ya está bloqueado, se debe utilizar el «Emergency Password Reset Script», como mencionan en h-online.com.
ese error del if empty(), es algo típico, suele no ser suficiente con comparar de esa forma muchas veces depende de la configuración del server o el php y da falsos. Suele pasar lo mismo con los == y === que muchas veces nos comemos :)
Interesante, seguramente salga un 2.8.4 muy pronto !!