Уязвиость DDos атаки во всех версиях Wordpress

Автор ProtectYourSite, 10-02-2018, 12:39:42

« назад - далее »
Печать
Вниз Страницы1
Действия пользователя

ProtectYourSiteTopic starter

10-02-2018, 12:39:42
Уже вторую неделю активно обсуждается в сети найденная уязвимость в популярной CMS Wordpress. Для тех кто не в курсе, все версии вордпресса подвержены эксплоиту под кодовым номером CVE-2018-6389. При помощи незамысловатых запросов можно значительно повысить нагрузку на любой сайт, а соответственно при превышении нагрузки запросто уложить сайт ддос-атакой. Виновниками этой проблемы являются скрипты минификации load-*.php (load-styles.php и load-scripts.php



В стандартном наборе есть 181 файл для запуска атаки на сервер. При многократном запуске даже с одного компьютера можно спокойно грохнуть сайт на шаред-хостинге.
Прискорбно, но уже вышли две новых версии с момента публикации уязвимости. Однако ни одна из этих версий не исправляет данной бреши. Причина проста, Wordpress официально заявила, что так и должно быть и не считает это багом. Поэтому в сети стали плодиться форки, дабы залатать данную дыру.

Что же делать простым смертным? Существует несколько методов защитить свои блоги от DDos. Однако самым эффективным я считаю закрыть админку по айпи или через basic авторизацию. Статья с подробным описанием методики защиты админки Wordpress от посторонних глаз.
Среди других методов, можно закрыть прямой доступ к опасным файлам в htaccess:

Код Выделить

RewriteEngine on
RewriteCond %{HTTP_COOKIE} !wordpress_logged_in_
RewriteRule /wp-admin/load-scripts.php - [F, L]
RewriteCond %{HTTP_COOKIE} !wordpress_logged_in_
RewriteRule /wp-admin/ load-styles.php - [F, L]


Проблема в том, что злоумышленникам не составит труда подставить в куки необходимое значение для обхода.

Так же можно добавить строку в конфигурационный файл вордпресса wp-config.php:

Код Выделить

define( 'CONCATENATE_SCRIPTS', false );


которая отключает данный функционал.
Другие методы, включающие патчинг файлов и их модификацию, не советую, поэтому не рассматриваю.
  •  

zanuda

#1
12-02-2018, 10:17:23
Цитата: ProtectYourSite от 10-02-2018, 12:39:42ля тех кто не в курсе, все версии вордпресса подвержены эксплоиту под кодовым номером CVE-2018-6389
Пару дней назад вордпресс проупдейтился. Это они не этот баг фиксили? Текущая версия 4.9.4, про нее тоже пишут, что она подвержена риску?
  •  

ProtectYourSiteTopic starter

#2
12-02-2018, 14:03:48
Цитата: zanuda от 12-02-2018, 10:17:23
Пару дней назад вордпресс проупдейтился. Это они не этот баг фиксили? Текущая версия 4.9.4, про нее тоже пишут, что она подвержена риску?
Да, вордпресс не собираются исправлять данную уязвимость.
  •  

Надежда Хачатурова

#3
12-02-2018, 18:27:12
Цитата: zanuda от 12-02-2018, 10:17:23Это они не этот баг фиксили?
В 4.9.3 забыли про автообновление )). Единственное, что устранено в 4.9.4, судя по релизу.

Аудит и оптимизация сайтов
Хостинг - надежный, SSL - бесплатный
  •  

AlexandrS

#4
23-06-2018, 12:08:14
Уже пофиксили данный баг ?

Или надо какой-то плагин?
  •  

bumer

#5
23-06-2018, 13:29:47
То есть получается любой юзер может включить дедос атаку на твой ВП блог ? верно что ли?
Незнаешь делать или не делать. Сделай!
  •  

ProtectYourSiteTopic starter

#6
23-06-2018, 17:11:09
Да, любой пользователь может воспроизвести атаку
Цитата: AlexandrS от 23-06-2018, 12:08:14
Уже пофиксили данный баг ?

Или надо какой-то плагин?
Нет, вордпресс не считает это багом и не будет фиксить, необходимо самому предпринять меры, описанные в начале темы.
  •  
Печать
Вверх Страницы1
Действия пользователя