我正在WordPress网站上进行渗透测试，我可以观察到同样的问题。这通常是一个低风险漏洞。

如果用户使用公共计算机，例如在图书馆中，下一个用户可能仍然能够在注销之前以某种方式检索原始cookie，并使用该cookie访问您的帐户。

OWASP在其安全测试指南中解释了该问题

编辑：所以在我的例子中，网站没有使用原生WordPress注销，而是使用一些插件注销电子商务网站。我认为问题在于插件。

使用/wp登录时。php？操作=注销，清除所有必要的WordPress Cookie。但这可能会忽略一些插件的注销。

因此，要回答上述问题，请检查使用的注销链接。这不是wp登录吗。php？action=注销，那么这不是本地WordPress注销，您需要调查网站为什么使用另一个注销功能（可能是插件的一部分）。

Testing for Server-Side Session Termination