Nemmeno l'autenticazione in due passaggi potrebbe bastare a proteggere l'account Wordpress, almeno in alcuni casi. Superare questa protezione è infatti abbastanza facile se si accede tramite un Wi-Fi pubblico o altre connessioni non sicure. Si trovano così a rischio anche siti molto popolari come ad esempio techcrunch.com.
Il problema, fa notare Yan Zhu della EFF, è che Wordpress trasferisce i cookie senza crittografarli. Un eventuale intruso potrebbe intercettare la connessione, copiare il cookie e poi usarlo per accedere al posto nostro. Il pericolo riguarda gli amministratori dei siti, che accedono con privilegi per creare e modificare i contenuti.
Zhu ha rilevato nei propri test che il cookie rubato garantisce l'accesso anche con un browser nuovo, quando in teoria di sarebbe dovuto attivare l'accesso in due passaggi dell'account. La ricercatrice ha notato inoltre che con tale accesso non autorizzato è possibile fare ogni cosa prevedano i privilegi dell'utente, compreso cambiare l'email di riferimento. Non sembra possibile invece cambiare la password.
Nel caso di un admin con i massimi privilegi, comunque, si rischia un vero e proprio disastro, perché sarebbe impossibile per il legittimo proprietario recuperare i diritti di accesso, mentre l'usurpatore potrebbe fare quello che gli pare - anche cancellare completamente il sito.
Andrew Nacin di Wordpress ha aggiunto che il pericolo riguarda quasi esclusivamente i siti ospitati su wordpress.com, un servizio gestito da Automatic e slegato dal progetto open source Wordpress. Sono molti i siti in pericolo, quindi, ma non tutti. Quelli ospitati su server esterni a Wordpress e che usano una connessione HTTPS non sono infatti vulnerabili a questo tipo di attacco, perché non sarebbe possibile intercettare il cookie - almeno per l'hacker della domenica.
Per tutti gli altri il consiglio è di evitare connessioni non sicure per accedere al proprio sito Wordpress in qualità di amministratori o con altri privilegi potenzialmente pericolosi.