WordPress的cookie臭蟲讓使用者帳號有遭盜用之虞

電子前線基金會（Electronic Frontier Foundation）技術人員Yan Zhu在個人部落格上公開WordPress的安全漏洞指出，WordPress用來紀錄使用者登入憑證的cookie並未加密，而是用明文顯示，使得在公開網路使用WordPress的用戶都有帳號被挾持的風險。

cookie是網站用來紀錄使用者的網路瀏覽行為或憑證，當使用者登入Facebook或WordPress之後，因網站已利用cookie紀錄使用者的憑證，因此就不會再要求使用者輸入，這是一個很普遍的功能，幾乎所有的網站都會使用，目的是為了讓使用者可順暢地使用該站服務。

不過，Zhu發現WordPress的憑證cookie並未加密，而是清楚顯示使用者的帳號及密碼。因此，當使用者在公開且未保護的網路上登入WordPress後，駭客即有機會透過諸如Firesheep等程式攔截網路上所傳輸的cookie，而直接取得使用者的憑證。

Zhu說，她複製了自己造訪WordPress時所儲存的cookie，把它存進一個新瀏覽器中，然後造訪WordPress，就直接登入了。

WordPress是一個以PHP和MySQL為平台的自由開源的部落格軟體和內容管理系統。WordPress具有外掛模組架構和模板系統。Alexa排行「前100萬」的網站中有超過16.7%的網站使用WordPress。到了2011年8月，約22%的新網站採用了WordPress。WordPress是目前網際網路上最流行的部落格系統。

2003年5月27日，WordPress從b2/cafelog分支，由馬特·查爾斯·穆倫維格（Matt Mullenweg）和Mike Little開發。到了2011年12月，3.0版本已經被下載了超過6500萬次。

既然WordPress從2003年到2011年的3.0版都從來沒改過「cookie並未加密」這種事，那就繼續用下去就好，永遠都不用加密了！