que tal muchachos? hoy estaba viendo unos videos sobre como vulnerar wordpress... vi uno de hace 5 meses que explica como hacer la inyección sql, y para evitar tener que descifrar el password se usa la técnica de clickear en forgot password, y usar el código de activación que está sin cifrar...

Resulta que cuando empiezo a hacer pruebas el formato del  código de activación es similar al del password:


es decir, está igual de cifrado que el password en si, en md5....

Mi duda es si ésto de encontrar los códigos de activación cifrados es un metodo de seguridad reciente, a partir de que versión se aplica y si existe algún otro método para tener que evitar el uso de john...

Saludos!