162.000 sitios web de WordPress vulnerables abusados ​​para realizar el ataque DDoS

Wordpress-Pingback-ddos-attack

Los ataques DDoS son un problema cada vez mayor para los gobiernos y las empresas. En un reciente ataque, miles de sitios web legítimos de WordPress han sido secuestrados por los piratas informáticos, sin necesidad de que sean comprometidos. En lugar de ello, los atacantes aprovecharon una vulnerabilidad existente WordPress (CVE-2013-0235) – “Pingback Denegación de Servicio posibilidad “.

Según la empresa de seguridad Sucuri, en un ataque de amplificación reciente fueron abusadas más de 162.000 sitios WordPress legítimos para lanzar una gran escala distribuida (DDoS) ataque de denegación de servicio.

El ataque explota un problema con el XML-RPC (XML llamada a procedimiento remoto) del WordPress, su uso es para proporcionar servicios como Pingbacks, trackbacks, que permite a cualquier persona para iniciar una petición de WordPress a un sitio arbitrario.

La funcionalidad se debe utilizar para generar referencias cruzadas entre los blogs, pero puede ser fácilmente utilizado por una sola máquina para originar millones de peticiones desde múltiples ubicaciones.

“Cualquier sitio de WordPress con XML-RPC habilitado (que es por defecto) se puede utilizar en los ataques DDoS contra otros sitios,” dijo Sucuri investigador en el blog.
El mecanismo Pingback ha sido conocido por ser un riesgo de seguridad durante algún tiempo. XML-RPC está activado por defecto en WordPress y los sitios web con ningún mecanismo de protección son vulnerables a este ataque.
Para detener su sitio web WordPress personal del abuso, tendrá que deshabilitar la funcionalidad de XML-RPC (Pingback) en su sitio, pero completamente discapacitante propio XML-RPC es poco probable, ya que es necesario para las funciones importantes.
Administradores de WordPress puede comprobar en línela herramienta WordPress DDOS escáner para encontrar si sus blogs son vulnerables o no, y si lo es, entonces la mejor manera de bloquearlo es agregando el siguiente código a su tema:

add_filter (‘xmlrpc_methods’, function () {$ métodos
unset ($ métodos [‘pingback ping.’]);
return $ métodos;
});

El año pasado en una serie de similares ataques DDoS, más de 10.000 sitios de WordPress se abusó del juego para apuntar y sitios gubernamentales.

Fuente: TheHackerNews

Share

This entry was posted in blog, hardening, info, seguridad, servicios web, webs. Bookmark the permalink.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

If you agree to these terms, please click here.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.