寫在前面：

這其實就是一個cookie傳輸沒有使用https的問題，最然看似無關大局，但是在前一陣導致ebay賬戶泄露的入侵事件中，也有這種漏洞的影子。

正文：

一位Electronic Frontier Foundation (EFF)的安全工程師Yan Zhu，發現了WordPress cookie處理環節上的漏洞，WordPress會直接向服務器發送未經加密的cookie，如果這個cookie攻擊者獲取，他就會通過這個cookie登陸你的賬號。

Yan Zhu說:

當賬號登陸之后，WordPress會使用一個叫做wordpress_logged_in的cookie來判斷用戶是否已經登陸，并且使用了HTTP協議傳送這個cookie，這樣做是不安全的。

在wifi環境下我們可以使用一些嗅探工具(比如firesheep)輕易的抓取到這個cookie，使用抓取到的cookie,攻擊者就可以在受害者的wordpress上執行任何不需要再次輸入密碼的操作。

"默認情況下這個session并不會過期，它會存在3年或者更長時間" Yan還在twitter這樣說.