Компания Sucuri, занимающаяся исследованиями в области безопасности, сообщает, что более 162 000 сайтов WordPress были использованы в распределенной атаке типа «отказ в обслуживании». Скомпрометированные машины или веб-сайты обычно используются для облегчения атак такого типа, но в этом случае чистые сайты WordPress использовались через XML-RPC.
XML-RPC используется в WordPress в качестве API для сторонних клиентов, таких как мобильные приложения WordPress, популярные клиенты веб-журналов, такие как Windows Writer, и популярные плагины, такие как Jetpack. XML-RPC используется для пингбэков и трекбеков, что хорошо, но может быть использовано неправильно для запуска DDoS-атак.
Всего за несколько часов более 162 000 различных легитимных сайтов WordPress попытались атаковать его сайт. Вероятно, мы обнаружили бы гораздо больше сайтов, но решили, что видели достаточно, и заблокировали запросы на пограничном брандмауэре, в основном, чтобы не заполнять журналы мусором.
Один злоумышленник может использовать тысячи популярных и чистых сайтов WordPress для выполнения своей DDoS-атаки, будучи скрытым в тени, и все это происходит с помощью простого ping-запроса к файлу XML-RPC.
Чтобы узнать, не использовался ли ваш сайт не по назначению, у Sucuri есть DDoS-сканер . Введите свой домен в соответствующее поле, и сканер попытается найти его в своих файлах журналов. Если домен не отображается, вы знаете, что сайт не использовался для атаки на других. К счастью, WPTavern не использовался для атак на другие сайты.
Не так просто, как отключить XML-RPC
К сожалению, отключение XML-RPC создает больше проблем, чем решений. Jetpack использует его для аутентификации на WordPress.com, а затем использует его постфактум для связи с сайтом, работающим на Jetpack. Это также отключит возможность использования любых мобильных приложений WordPress для связи с сайтом.
Сотрудник Automattic Алекс Шилс ответил в комментариях к статье, что они определили источник пингбеков и хотят узнать, может ли плагин Akismet помочь предотвратить это. Он также упомянул в Твиттере, что команда безопасности работает над решением.
https://twitter.com/tellyworth/status/443212073967685632
Как отключить только пингбеки
Хотя у Sucuri есть фрагмент кода, который вы можете добавить, чтобы отключить только функцию pingback XML-RPC, мне сказали, что это серьезно повлияет на сайты WordPress, работающие на PHP 5.2, из-за использования анонимной функции. Следующий фрагмент кода будет работать правильно без каких-либо побочных эффектов. Он отключает пингбэки, позволяя таким вещам, как мобильные приложения Jetpack и WordPress, работать нормально. Добавьте код в файл functions.php вашей темы.
[php]
add_filter(‘xmlrpc_methods’, ‘remove_xmlrpc_pingback_ping’);
function remove_xmlrpc_pingback_ping($methods) {
unset($methods[‘pingback.ping’]);
методы возврата $;
} ;
[/php]
Пришло время отказаться от пингбэков и трекбэков?
WPTavern не привыкать к атакам типа «отказ в обслуживании» из-за пингбэков и трекбеков. В 2010 году я объяснил, как WPTavern был отслежен до смерти . Вскоре после того, как веб-сайт вернулся в сеть, я отключил оба, так как боялся, что они могут снова отключить сайт. Прошло несколько лет, и я снова включил pingbacks и trackbacks без каких-либо побочных эффектов. Однако мне интересно, не пора ли их убить раз и навсегда, не только на WPTavern, но и на WordPress в целом.
