通过开放Wi-Fi网络访问Internet的人们，它们的WordPress网页将很有可能遭到劫持(即使已经开启了两步验证)！这个新漏洞是由电子前沿基金会(EFF)一位名叫Yan Zhu的技术人员发现的。其原因是，当你访问WordPress的时候，该网站会发送一个纯文本的cookie，而非加密cookie。

此后，WordPress将允许用户在网站上进行博客修改和私信等操作。由于WordPress的放任了这个未加密的cookie，因此它很有可能被拦截。

为了验证这点，Zhu拿自己账户的cookie进行了测试，“复制”结果表明，攻击者也可以轻而易举地得逞——无需输入任何信息，甚至绕过了两步验证。

如此一来，攻击者就可以利用这个cookie，执行更改email地址等进一步操作。即使Cookie会过期，但如果用户处于一个开放网络中，其杀伤力就会高很多。

不过，启用了HTTPS的自托管WordPress账户，并不会受到这个漏洞的影响。对于那些未启用HTTPS的网站，请尽量避免在“不安全的网络”中进行账户的访问操作。

[编译自：Neowin , via：Ars Technica]