开源WordPress博客和内容管理系统技术可能受到遭受不安全Cookie攻击的攻击者的威胁。电子前沿基金会(EFF)的技术人员Yan Zhu在5月23日的博客文章中警告了WordPress中不安全的cookie带来的风险。

“就像妈妈一直说的那样，您应该在敏感的cookie上设置'安全'标志，以使它们永远不会以纯文本形式发送，”朱写道。

通常，Cookie在WordPress和网站中广泛使用，以存储用户首选项和凭据。“即使网站具有通过安全套接字层(SSL)加密保护的登录，应用程序开发人员也有责任识别Cookie是否具有“安全标志”，从而通过SSL发送Cookie信息。 。

在没有适当的cookie安全标记的情况下，Zhu解释说她能够登录到另一个用户的帐户。在Zhu的研究中，她发现cookie在每次用户会话后都不会过期，这意味着可以重复使用该cookie重复登录到WordPress用户的帐户。

对于在线安全和隐私领域，Zhu并不陌生。她目前是HTTPS无处不在浏览器扩展程序的维护者，该扩展程序将用户定向到网站的SSL版本，以提供更好的安全性。Zhu还是EFF的“ 隐私徽章”工作的维护者，该工作旨在帮助用户被在线跟踪。隐私权标志工作与Yahoo最近放弃的“不跟踪互联网标准”工作有关。

朱进行的研究是针对WordPress.com托管站点的，该站点由WordPress开源项目的主要赞助商Automattic经营。WordPress站点还可以由站点所有者使用开源代码自行托管。Zhu自己的博客Discrete Blogarithm公开了Cookie的风险，她在开源WordPress软件上运行该博客。

从WordPress的角度来看，可以做很多事情来提高与Cookie相关的安全性。

在给eWEEK的电子邮件中，开源WordPress开发人员Andrew Nacin解释说WordPress隔离其cookie以确保安全。

Nacin说：“默认情况下，前端cookie是通过HTTP传送的，仅用于标识用户，以用于登录的工具栏，主题中的编辑帖子链接等。” “如果用户强迫仪表板通过SSL使用，则仅管理员cookie会附带安全标志。”

Nacin说，只有管理员cookie才能访问仪表板和更改设置，管理帖子或编辑用户的个人资料。

Nacin告诉Zhu，在下一个WordPress版本中，SSL支持将得到改善，会话结束后，授权cookie将失效，以进一步保护用户。