写在前面：

这其实就是一个cookie传输没有使用https的问题，最然看似无关大局，但是在前一阵导致ebay账户泄露的入侵事件中，也有这种漏洞的影子。

ps：貌似这个黑客还是个妹子~~~~(>_<)~~~~

正文：

一位 Electronic Frontier Foundation (EFF)的安全工程师Yan Zhu，发现了WordPress cookie处理环节上的漏洞，WordPress会直接向服务器发送未经加密的cookie，如果这个cookie攻击者获取，他就会通过这个cookie登陆你的账号。

Yan Zhu说:

当账号登陆之后，WordPress会使用一个叫做wordpress_logged_in的cookie来判断用户是否已经登陆，并且使用了HTTP协议传送这个cookie，这样做是不安全的。

在wifi环境下我们可以使用一些嗅探工具(比如firesheep)轻易的抓取到这个cookie，使用抓取到的cookie,攻击者就可以在受害者的wordpress上执行任何不需要再次输入密码的操作。

"默认情况下这个session并不会过期，它会存在3年或者更长时间" Yan还在twitter这样说．