На прошлой неделе мы писали об отчете, опубликованном Sucuri, в котором объяснялось, как 162 000 чистых сайтов WordPress были использованы в DDoS-атаке с помощью функции pingback XML-RPC. Алекс Шилс, работающий над Akismet, упомянул в Твиттере, что команда безопасности работает над решением.
Доступно обновление для Akismet, содержащее исправления ошибок, улучшения безопасности и защиты от спама. В частности:
- Включите заголовок X-Pingback-Forwarded-For в исходящие pingback-проверки WordPress.
- Добавьте предварительную проверку на пингбэки, чтобы остановить спам до того, как будет сделан запрос на проверку исходящего трафика.
По словам Шилса, проверки на спам были выполнены после проверки pingback, и WordPress не сообщил, кто сделал запрос, который заставил его проверить pingback, эффективно скрывающий истинный источник. Шилс также заявил, что исправления, примененные к Akismet, могут попасть в ядро WordPress в будущем обновлении: « Мы считаем, что аналогичный подход может подойти для ядра в будущем выпуске. ”
Как отключить пингбэки для уже опубликованного контента
Хотя улучшения безопасности в Akismet окажут наибольшее влияние, я по-прежнему утверждаю, что обратные ссылки и обратные связи потеряли свой блеск. Вы можете легко остановить пингбэки в разделе « Настройки» — «Обсуждение », но для их удаления из уже опубликованного контента необходимо использовать запрос MySQL. К счастью, есть плагин, который избавляет от необходимости использовать запрос Auto-Close Comments, Pingbacks and Trackbacks от Ajay .
Автоматическое закрытие дает пользователям гибкость в определении того, какие записи и страницы будут отключены. Нет возможности отключить их для каждого поста или страницы. Тем не менее, я смог отключить их для большей части своего контента, закрыв ping/trackbacks для постов старше одного дня. Если у вас уже опубликовано много контента, вы можете использовать встроенный планировщик, чтобы не использовать слишком много ресурсов на сервере.
Плагин работает так, как рекламируется, и является единственным, который я смог найти, который имеет возможность массово отключать обратную связь и обратную связь без использования запроса к базе данных.
