Доброго времени суток. Не так давно была опубликована новость об 0-day уязвимости в WordPress. Сама уязвимость найдена еще в июле 2016 года и пока не исправлена. По утверждениям представителей безопасности WordPress проблема не столь важная и поэтому имеет низкий приоритет.

И чтобы проблема представляла угрозу должны быть несколько факторов:

• Неправильная настройка http сервера, включено отображение ошибок.
• Пользователь должен ответить на адрес электронной почты для сброса пароля
• На почте включен автоответчик
• Сервер электронной почты должен быть взломан или перегружен, а сообщение отправлено отправителю с неразрешенным содержимым

К сожалению, ко многим настройкам мы не имеем доступа и как же быть? А решается все очень просто. Открываем файл functions.php темы, которую мы используем и добавляем следующий код:

add_filter( 'wp_mail_from', function( $from_email ) { 
    return 'wordpress@mysite.com'; 
} );

wp_mail_from – изменяет адрес электронной почты сообщения, отправленного с помощью wp_mail. Функция должна возвращать email адрес. Более подробно о wp_mail_from можно прочитать в официальной документации

Вот и все. Следите за обновлениями WordPress.