A-A+

WordPress的DDOS漏洞

2014年08月29日 技术, 站点更新 暂无评论 阅读 2,956 次

今天阿里云发短信给我,说我的WordPress存在DDOS漏洞,让我去它的帮助页查找相关解决信息,结果我毛都没查到。不过阿里云不会吃饱了撑的没事干发短信骚扰玩,所以我去百度了一把,结果发现确实有这么一个说法,只不过我不是被攻击者,而是被动的攻击参与者。

原文章可以参见此地址:你的WordPress 参与 DDOS 攻击了吗?,具体的内容如下:

Sucuri Security曾发文称,有大约16万wordpress站点被黑客利用,同时对一目标站点发起DDOS攻击,导致该站点服务器很快宕机。Sucuri Security分析称本次黑客利用WordPress的XML-RPC进行DDOS攻击,XML-RPC是WordPress用于第三方客户端的API接口,比如最常见的iphone、安卓上的wordpress管理APP,XML-RPC同时提供pingbacks和trackbacks端口,该端口可以用于站点与站点之间的通讯,但是如果被黑客利用,就可能被用来进行诸如上诉的DDoS 攻击。

那么如何防止我们的站点被黑客利用呢?几种方法以供参考:

  1. 关闭XML-RPC。在wordpress3.5版本之前,可以直接在后台关闭XML-RPC,但是3.5之后的版本默认是开启的,且后台不提供关闭选项,那我们只能用代码关闭了。在你的 functions.php中插入如下代码即可关闭:关闭xmlrpc
  2. 关闭XML-RPC的Pingbacks 端口,在functions.php中增加如下代码,即可关闭pingbacks端口:关闭pingback

通过修改,wordpress站点就不会被利用拿来参与到DDOS攻击了。目前wordpress官方也在想方法修复该问题,或许下一个版本就能修复该漏洞。所以我会先关闭XML-RPC,然后再查找一些资料来确认,合适的时候再开放此功能。

给我留言

Copyright © 字痕随行 保留所有权利.   Theme  Ality

用户登录

分享到: