Αν έχετε ένα blog που τρέχει με WordPress και φιλοξενείται στην Wοrdpress.com θα πρέπει να πάρετε να είστε ιδιαίτερα προσεκτικοί κατά την είσοδο σας, στο πάνελ διαχείρισης της ιστοσελίδας σας. Τι εννοούμε; Κατά την σύνδεση σας στο Wοrdpress μην χρησιμοποιείτε δημόσια Wi-Fi, γιατί μπορεί να παραδώσετε τα στοιχεία σας σε κάποιον κακόβουλο χρήστη. Ο λογαριασμός σας μπορεί να γίνει hacked, ακόμα κι αν έχετε ενεργοποιήσει τον έλεγχο ταυτότητας δύο παραγόντων.
Η Yan Zhu, μια ερευνήτρια ασφαλείας από το Electronic Frontier Foundation (EFF) παρατήρησε ότι τα ιστολόγια που φιλοξενούνται στο WοrdPress.com αποστείλουν τα cookies ταυτότητας του χρήστη σε μορφή απλού κειμένου και όχι κρυπτογραφημένα. Έτσι, ακόμα και ένα Script Kiddie μπορεί να υποκλέψει τις πληροφορίες σύνδεσης.
Όταν οι χρήστες του Wοrdpress συνδέονται στο λογαριασμό τους, οι servers της WordPress.com διανέμουν ένα cookie με το όνομα “wordpress_logged_in” στο πρόγραμμα περιήγησης των χρηστών, όπως αναφέρει σ Yan Zhu στο blog της. Η ερευνήτρια παρατήρησε ότι αυτό το cookie ελέγχου ταυτότητας αποστέλλεται μέσω HTTP, με έναν πολύ ανασφαλή τρόπο.
[tweet_embed id=471186304667881472]
Κάποιος κακόβουλος χρήστης μπορεί να αρπάξει εύκολα τα HTTP cookies αν χρησιμοποιεί το ίδιο δίκτυο Wi-Fi, χρησιμοποιώντας κάποια εξειδικευμένα εργαλεία, όπως το Firesheep, ένα εργαλείο sniffing δικτύων. Το cookie μπορεί να προστεθεί σε οποιοδήποτε άλλο πρόγραμμα περιήγησης στο Web και θα δώσει στον hacker παράνομη πρόσβαση στον WοrdPress λογαριασμό του θύματος.
Τα καλά νέα είναι ότι, αν έχετε μια ιστοσελίδα Wοrdpress που φιλοξενείται σε server που υποστηρίζει HTTPS, τότε το blog σας δεν είναι ευάλωτο στο ελάττωμα επαναχρησιμοποίησης των cookies.
