Как предотвратить участие WordPress в атаках отказа в обслуживании Pingback

Компания Sucuri, занимающаяся исследованиями в области безопасности, сообщает, что более 162 000 сайтов WordPress были использованы в распределенной атаке типа «отказ в обслуживании». Скомпрометированные машины или веб-сайты обычно используются для облегчения атак такого типа, но в этом случае чистые сайты WordPress использовались через XML-RPC.

XML-RPC используется в WordPress в качестве API для сторонних клиентов, таких как мобильные приложения WordPress, популярные клиенты веб-журналов, такие как Windows Writer, и популярные плагины, такие как Jetpack. XML-RPC используется для пингбэков и трекбеков, что хорошо, но может быть использовано неправильно для запуска DDoS-атак.

Всего за несколько часов более 162 000 различных легитимных сайтов WordPress попытались атаковать его сайт. Вероятно, мы обнаружили бы гораздо больше сайтов, но решили, что видели достаточно, и заблокировали запросы на пограничном брандмауэре, в основном, чтобы не заполнять журналы мусором.

Один злоумышленник может использовать тысячи популярных и чистых сайтов WordPress для выполнения своей DDoS-атаки, будучи скрытым в тени, и все это происходит с помощью простого ping-запроса к файлу XML-RPC.

Чтобы узнать, не использовался ли ваш сайт не по назначению, у Sucuri есть DDoS-сканер . Введите свой домен в соответствующее поле, и сканер попытается найти его в своих файлах журналов. Если домен не отображается, вы знаете, что сайт не использовался для атаки на других. К счастью, WPTavern не использовался для атак на другие сайты.

Не так просто, как отключить XML-RPC

К сожалению, отключение XML-RPC создает больше проблем, чем решений. Jetpack использует его для аутентификации на WordPress.com, а затем использует его постфактум для связи с сайтом, работающим на Jetpack. Это также отключит возможность использования любых мобильных приложений WordPress для связи с сайтом.

Сотрудник Automattic Алекс Шилс ответил в комментариях к статье, что они определили источник пингбеков и хотят узнать, может ли плагин Akismet помочь предотвратить это. Он также упомянул в Твиттере, что команда безопасности работает над решением.

Как отключить только пингбеки

Хотя у Sucuri есть фрагмент кода, который вы можете добавить, чтобы отключить только функцию pingback XML-RPC, мне сказали, что это серьезно повлияет на сайты WordPress, работающие на PHP 5.2, из-за использования анонимной функции. Следующий фрагмент кода будет работать правильно без каких-либо побочных эффектов. Он отключает пингбэки, позволяя таким вещам, как мобильные приложения Jetpack и WordPress, работать нормально. Добавьте код в файл functions.php вашей темы.

[php]
add_filter(‘xmlrpc_methods’, ‘remove_xmlrpc_pingback_ping’);
function remove_xmlrpc_pingback_ping($methods) {
unset($methods[‘pingback.ping’]);
методы возврата $;
} ;
[/php]

Пришло время отказаться от пингбэков и трекбэков?

WPTavern не привыкать к атакам типа «отказ в обслуживании» из-за пингбэков и трекбеков. В 2010 году я объяснил, как WPTavern был отслежен до смерти . Вскоре после того, как веб-сайт вернулся в сеть, я отключил оба, так как боялся, что они могут снова отключить сайт. Прошло несколько лет, и я снова включил pingbacks и trackbacks без каких-либо побочных эффектов. Однако мне интересно, не пора ли их убить раз и навсегда, не только на WPTavern, но и на WordPress в целом.