Использование WordPress для DDoS-атак
Подробности статьи
Ссылка:
https://kb.hothat.ru/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=218
Cтатья №:
218
Создано:
21.03.2014 12:50
Ответ
Сайты, созданные с помощью CMS WordPress могут использоваться злоумышленниками для организации DDoS-атак. Используется механизм Pingback, который включен в WordPress по умолчанию. При этом, фиксируется повышенная нагрузка на CPU и в логах веб-сервера можно увидеть запросы вида
"POST /xmlrpc.php HTTP/1.1"
.
Защитить свой сайт Вы можете следующими способами:
1. Подключить плагин.
Наиболее надежный способ.
Плагин отключения Pingback можно скачать с официального сайта WordPress:
http://wordpress.org/plugins/disable-xml-rpc-pingback/
или установить непосредственно из админ-панели сайта:
Плагин представляет собой единственный PHP-скрипт с содержимым:
<?php
add_filter( 'xmlrpc_methods', 'Remove_Pingback_Method' );
function Remove_Pingback_Method( $methods ) {
unset( $methods['pingback.ping'] );
unset( $methods['pingback.extensions.getPingbacks'] );
return $methods;
}
?>
2. Отключить Pingback в настройках WordPress.
Для этого перейдите в меню Параметры - Обсуждение и снимите галочки "Пытаться оповестить блоги, упоминаемые в статье" и "Разрешить оповещения с других блогов (уведомления и обратные ссылки) ":