Passwort-Reset Funktion versendet falsche Mails

Hab gerade getestet, weil eine Kundin meldet, sie bekomme kein Mail.
Ich bekomme nicht eins sondern zwei Mails. Die sind aber unlogisch bis falsch...
Ich vermute, da sind bei Gambio-Updates ein altes und neues Passwort-Reset System durchmischt statt abgelöst worden? (Bin momentan auf 4.0)

Wenn ich auf paddlershop.ch "Passwort vergessen" klicke, komme ich auf /password_double_opt.php
Nach ausfüllen erhalte ich ein erstes Mail:

Wenn man den Link anklickt, kommt man auf /password_double_opt.php?action=verified&customers_id=...&key=EAP...
Wo man ein neues Passwort setzen kann.

Bis hier könnte ich einfach den Mail-Text anpassen: "Wenn Sie den Link anklicken, können Sie ein neues Passwort setzen".

Das Setzen eines neuen Passworts funktioniert wie erwartet, also sollte hier fertig sein.
Aber es wird trotzdem noch ein Passwort-Mail verschickt (das aber kein Passwort enthält):

Fragen:

1. Wie kommt's zu diesem Verhalten?
2. Wie sieht das bei euch aus?
3. Wie verhindert man dieses 2. Mail?
4. Kann es sein dass gewisse User nach einem anderen Schema benachrichtigt werden resp. garnicht, so wie meine Kundin meldet?
5. Ich denke, aus Sicherheitsgründen sollte der Reset-Link nur 1x benutzbar sein. Ist er aber nicht. Was meint ihr, resp. Gambio?

 

Danke, mail-reset hat geklappt. (admin/gm_emails.php)
Noch offen ist die Frage 4.

PS:
Zu 5. wär's schön, wenn die Meldung, dass der Link abgelaufen ist, sofort beim Aufruf kommt, nicht erst nachdem man das Formular absendet.

 

Sind da vielleicht auch meine Seiten-Vorlagen durcheinander?
Oder ist der Default nicht konsequent?
(gibt ja keinen test/demo shop mehr, wo man das auf die Schnelle prüfen kann, ohne gleich einen testshop anlegen, oder?)

Erste Seite scheint ok...


Aber nach Klick auf WEITER sollte man doch erwarten, dass eine Seite erscheint mit blauem Titel SCHRITT 2: ...
Sieht aber so aus:


Schritt 3 (nach klick auf link im Mail) passt dann wieder: