2013年以來，隨著網(wǎng)站數(shù)據(jù)泄露事故的頻發(fā)，越來越多的網(wǎng)站開始提供兩步認證（雙因子認證）技術(shù)提高用戶賬戶的安全強度，而全球最大的博客平臺WordPress也通過類似duo_wordpress的第三方插件實現(xiàn)兩步認證。

近日，duo_wordpress的開發(fā)商，企業(yè)級移動安全Duo Security透露該插件存在安全漏洞，用戶在登錄同一站點群的一個網(wǎng)站跳轉(zhuǎn)到另外一個網(wǎng)站時可以繞過兩步認證。

當管理員采用單一后臺管理多個網(wǎng)站，而每個網(wǎng)站分別部署duo_wordpress插件時，才會遭遇以上的安全問題。如果在單一后臺統(tǒng)一在多個網(wǎng)站部署duo_wordpress，則不會遇到這個麻煩。

據(jù)Duo Security透露，該公司的WordPress兩步認證插件存在的這個安全漏洞還會影響第三方兩步認證廠商的插件，建議所有部署兩步認證的WordPress管理員都應當檢查系統(tǒng)安全問題。

Duo Security在官網(wǎng)的用戶建議給出了如下的情形：

一個多站W(wǎng)ordPress平臺包含兩個站點，站點1和站點2，其中站點1啟用了Duo WordPress插件而站點2沒有，當用戶登錄站點1時會要求進行兩步認證，登錄站點2時只需輸入普通的賬戶密碼，但是當站點1的用戶首先登錄站點2的登錄頁面，會獲得認證并被重定向到站點1，也就是說繞過兩步認證自動獲得站點1的認證。

Duo Security給出的解決辦法是打開全局范圍的兩步認證，然后為個別站點關(guān)閉兩步認證，而不是先關(guān)閉全局認證然后為個別站點單獨部署兩步認證。