Вот и прокатилась мимо меня очередная волна DDoS-атак, направленных по большей части на вывод из строя сайтов, управляемых WordPress. Оно и понятно, движок популярный. Без труда найдёте сравнительную статистику CMS и увидите, что подавляющее большинство блоговых платформ именно на Вордпрессе.
На сей раз баг был связан с тем, что можно отправлять на сайт специальным образом сформированный XML-файл для добавления поста. И если этот файл был специальным образом сфабрикован (имел большой размер отдельных тегов), то на анализ и парсинг этого файла уходило очень много ресурсов. Таким образом, отправляя регулярные запросы даже с одного узла, можно было уложить WordPress в глубокий даун до тех пор, пока … пока соблюдены все условия для атаки.
Дырку довольно быстро прикрыли, выпустив обновление. Но вспомните, многие ли администраторы устанавливают актуальные версии продуктов? Не все… Так что атака до сих пор имеет место быть.
Мне, кстати, вся эта суматоха вокруг XMLRPC с самого начала показалась мутной темой и я решил проблему доступа к файлу на уровне веб-сервера. Теперь там deny all. Я этой службой не пользуюсь, поэтому не будет проблем, если закрыть доступ к нему полностью.
А сколько ещё остаётся подобных багов? Да практически любой аспект CMS, предоставляющий определенное удобство пользователю, может обернуться “во зло”. Формы авторизации лучше защищать дополнительными капчами-полями, а то и двойную авторизацию подключить, даже по http_basic.
Далее, иногда народ забывает даже о самом простом phpmyadmin, который тоже может натворить много делов. Потом, закачивая сайты по ftp, мы можем просто позабыть о том, что аккаунт тоже поддается брутфорсу и лучше будет банить всех нарушителей даже с file2ban.
Кстати, наметил тут прикольную функцию в AIMP (музыкальный аудиоплеер) – планировщик задач. Можно оставить музыку играть засыпая, а так же поставить будильник, чтобы трек воспроизводился в определенное время! Гораздо приятней, чем будильник на телефоне. Конечно есть и другие таймеры выключения компьютера в windows, но тут каждый сможет подобрать себе по вкусу и цвету.
Сейчас даже на хабре обсуждают эту багу вордпресса
Очень много сайтов на WordPress на самом деле. И обнаружение какой-нибудь уязвимости, особенно 0-day может просто выкосить четверть интернета )