Уязвиость DDos атаки во всех версиях Wordpress

Автор Тема: Уязвиость DDos атаки во всех версиях Wordpress  (Прочитано 692 раз)

Онлайн ProtectYourSiteАвтор темы

  • Бизнес оценка: (2, 100%)
  • Ветеран
  • *****
  • СПАСИБО: 216
  • Сообщений: 520
  • Карма: 3
    • Просмотр профиля
    • Удаление вирусов на сайте с гарантией

Онлайн ProtectYourSiteАвтор темы

  • Ветеран
  • *****
2
Уже вторую неделю активно обсуждается в сети найденная уязвимость в популярной CMS Wordpress. Для тех кто не в курсе, все версии вордпресса подвержены эксплоиту под кодовым номером CVE-2018-6389. При помощи незамысловатых запросов можно значительно повысить нагрузку на любой сайт, а соответственно при превышении нагрузки запросто уложить сайт ддос-атакой. Виновниками этой проблемы являются скрипты минификации load-*.php (load-styles.php и load-scripts.php



В стандартном наборе есть 181 файл для запуска атаки на сервер. При многократном запуске даже с одного компьютера можно спокойно грохнуть сайт на шаред-хостинге.
Прискорбно, но уже вышли две новых версии с момента публикации уязвимости. Однако ни одна из этих версий не исправляет данной бреши. Причина проста, Wordpress официально заявила, что так и должно быть и не считает это багом. Поэтому в сети стали плодиться форки, дабы залатать данную дыру.

Что же делать простым смертным? Существует несколько методов защитить свои блоги от DDos. Однако самым эффективным я считаю закрыть админку по айпи или через basic авторизацию. Статья с подробным описанием методики защиты админки Wordpress от посторонних глаз.
Среди других методов, можно закрыть прямой доступ к опасным файлам в htaccess:

Код:
Только зарегистрированные пользователи могут видеть код. Пожалуйста, войдите или зарегистрируйтесь.
Проблема в том, что злоумышленникам не составит труда подставить в куки необходимое значение для обхода.

Так же можно добавить строку в конфигурационный файл вордпресса wp-config.php:

Код:
Только зарегистрированные пользователи могут видеть код. Пожалуйста, войдите или зарегистрируйтесь.
которая отключает данный функционал.
Другие методы, включающие патчинг файлов и их модификацию, не советую, поэтому не рассматриваю.


Оффлайн zanuda

  • Бизнес оценка: (0)
  • Ветеран
  • *****
  • СПАСИБО: 427
  • Сообщений: 1400
  • Карма: 46
    • Просмотр профиля

Оффлайн zanuda

  • Ветеран
  • *****
ля тех кто не в курсе, все версии вордпресса подвержены эксплоиту под кодовым номером CVE-2018-6389
Пару дней назад вордпресс проупдейтился. Это они не этот баг фиксили? Текущая версия 4.9.4, про нее тоже пишут, что она подвержена риску?

Онлайн ProtectYourSiteАвтор темы

  • Бизнес оценка: (2, 100%)
  • Ветеран
  • *****
  • СПАСИБО: 216
  • Сообщений: 520
  • Карма: 3
    • Просмотр профиля
    • Удаление вирусов на сайте с гарантией

Онлайн ProtectYourSiteАвтор темы

  • Ветеран
  • *****
Пару дней назад вордпресс проупдейтился. Это они не этот баг фиксили? Текущая версия 4.9.4, про нее тоже пишут, что она подвержена риску?
Да, вордпресс не собираются исправлять данную уязвимость.

Оффлайн Надежда Хачатурова

  • Бизнес оценка: (10, 100%)
  • КМС
  • *****
  • СПАСИБО: 3453
  • Сообщений: 3790
  • Карма: 448
  • Пол: Женский
  • Диагностика внутренней оптимизации
  • Награды Более трех тысяч спасибо Мастер поисковой оптимизации SEO-специалист
    • Просмотр профиля
    • Блог Надежды Хачатуровой
  • Доп. информация
    • Бизнес оценка: (10, 100%)
    • СПАСИБО: 3453
    • Сообщений: 3790
    • Карма: 448
    • Пол: Женский
    • Диагностика внутренней оптимизации
    • Награды Более трех тысяч спасибо Мастер поисковой оптимизации SEO-специалист
      • Просмотр профиля
      • Блог Надежды Хачатуровой
Это они не этот баг фиксили?
В 4.9.3 забыли про автообновление )). Единственное, что устранено в 4.9.4, судя по релизу.



 

Похожие темы

  Тема / Автор Ответов Последний ответ
5 Ответов
3404 Просмотров
Последний ответ 15-03-2016, 21:20:03
от Pall
20 Ответов
10104 Просмотров
Последний ответ 02-07-2012, 12:30:25
от Dmitry.Sidorov
0 Ответов
854 Просмотров
Последний ответ 14-10-2014, 11:22:01
от Azarchick
3 Ответов
1165 Просмотров
Последний ответ 21-05-2015, 16:58:26
от vdvcv
3 Ответов
1509 Просмотров
Последний ответ 29-12-2016, 14:11:04
от cosmos2055