A-A+
WordPress的DDOS漏洞
今天阿里云发短信给我,说我的WordPress存在DDOS漏洞,让我去它的帮助页查找相关解决信息,结果我毛都没查到。不过阿里云不会吃饱了撑的没事干发短信骚扰玩,所以我去百度了一把,结果发现确实有这么一个说法,只不过我不是被攻击者,而是被动的攻击参与者。
原文章可以参见此地址:你的WordPress 参与 DDOS 攻击了吗?,具体的内容如下:
Sucuri Security曾发文称,有大约16万wordpress站点被黑客利用,同时对一目标站点发起DDOS攻击,导致该站点服务器很快宕机。Sucuri Security分析称本次黑客利用WordPress的XML-RPC进行DDOS攻击,XML-RPC是WordPress用于第三方客户端的API接口,比如最常见的iphone、安卓上的wordpress管理APP,XML-RPC同时提供pingbacks和trackbacks端口,该端口可以用于站点与站点之间的通讯,但是如果被黑客利用,就可能被用来进行诸如上诉的DDoS 攻击。
那么如何防止我们的站点被黑客利用呢?几种方法以供参考:
- 关闭XML-RPC。在wordpress3.5版本之前,可以直接在后台关闭XML-RPC,但是3.5之后的版本默认是开启的,且后台不提供关闭选项,那我们只能用代码关闭了。在你的 functions.php中插入如下代码即可关闭:
- 关闭XML-RPC的Pingbacks 端口,在functions.php中增加如下代码,即可关闭pingbacks端口:
通过修改,wordpress站点就不会被利用拿来参与到DDOS攻击了。目前wordpress官方也在想方法修复该问题,或许下一个版本就能修复该漏洞。所以我会先关闭XML-RPC,然后再查找一些资料来确认,合适的时候再开放此功能。