电子前沿基金会(EFF)一位名叫Yan Zhu的技术人员近日发现了WordPress的一个安全漏洞，通过开放Wi-Fi网络访问Internet的人们，它们的WordPress网页将很有可能遭到劫持(即使已经开启了两步验证)！

Yan Zhu发现一个重要的cookies“wordpress_logged_in”在输入有效的用户名和密码后通过HTTP明文发送到WordPress的一个认证端点。也就是说，你可以拷贝这个cookies到另一个浏览器内，然后在cookies有效期内直接登录到WordPress帐号，绕过了二步认证，不需要再输入用户名和密码。她测试后发现，这个cookies拥有发表文章阅读私人帖子和留言等诸多权限，甚至能修改帐号相关的电子邮件地址。WordPress首席开发者Andrew Nacin已经证实了这个漏洞，称将在下个WordPress 版本中修复该问题，指出漏洞不允许修改密码，因为修改密码需要使用到另一个认证cookies“wordpress_sec”。

为了验证这点，Zhu拿自己账户的cookie进行了测试，“复制”结果表明，攻击者也可以轻而易举地得逞——无需输入任何信息，甚至绕过了两步验证。

如此一来，攻击者就可以利用这个cookie，执行更改email地址等进一步操作。即使Cookie会过期，但如果用户处于一个开放网络中，其杀伤力就会高很多。

不过，启用了HTTPS的自托管WordPress账户，并不会受到这个漏洞的影响。对于那些未启用HTTPS的网站，请尽量避免在“不安全的网络”中进行账户的访问操作。

安全牛点评：WordPress的这个漏洞，同时也凸显了在开放WiFi网络操作数据的危险性。