黑客能利用不安全的cookies劫持你的WordPress博客

        Everywhere 和 Privacy Badger Firefox 维护者 Yan Zhu 发现了 WordPress 的一个安全漏洞，该漏洞将允许黑客劫持你的 WordPress 博客。她发现一个重要的 cookies“wordpress_logged_in”在输入有效的用户名和密码后通过 HTTP 明文发送到 WordPress 的一个认证端点。

　　也就是说，你可以拷贝这个 cookies 到另一个浏览器内，然后在 cookies 有效期内直接登录到 WordPress 帐号，绕过了二步认证，不需要再输入用户名和密码。她测试后发现，这个 cookies 拥有发表文章阅读私人帖子和留言等诸多权限，甚至能修改帐号相关的电子邮件地址。WordPress 首席开发者 Andrew Nacin 已经证实了这个漏洞，称将在下个 WordPress 版本中修复该问题，指出漏洞不允许修改密码，因为修改密码需要使用到另一个认证 cookies“wordpress_sec”。