0-day в WordPress позволяет сбрасывать чужие пароли, и патча пока нет.

Уязвимость получила идентификатор CVE-2017-8295 и была обнаружена в июле 2016 года. Проблема опасна для всех версий WordPress, включая 4.7.4, и касается того, как CMS осуществляет сброс пароля. Опасно тем что ящик куда приходят письма может быть переполнен и письмо с паролем будет отправлено обратно или автоответчик прикрепит письмо к ответу и т.д.

В качестве временного решения проблемы эксперт предлагает включить UseCanonicalName, чтобы принудить переменную SERVER_NAME оставаться статической.

Собственно в файле настройки виртуального сервера  в Apache включаем эту опцию /etc/apache2/sites-available/000-default.conf

<virtualhost *:80>
...
UseCanonicalName On
...
</virtualhost *:80>

По материалам сайта Хакер.