SECURI揭露,有超过16.2万个无辜的WordPress的网站被当成执行分散式阻断服务攻击(DDoS)攻击的傀儡,SECURI并释出侦测工具以协助WordPress的网站确认是否成为DDoS的攻击的帮凶。
Securi是在协助某个WordPress网站阻挡DDoS攻击时发现这些攻击流量是来自16.2万多个合法且有效的WordPress网站,而且骇客使用非常简单的手法就让这些WordPress网站沦为攻击工具。
根据Securi的说明,WordPress有一个可在有人连结或参考WordPress网站时进行回报的Pingback功能,Pingback使用XMLRPC进行远端程序呼叫,通常一个Pingback就是一个XML-RPC请求,当A部落客写了一篇连结到B部落客的文章时,就会从A站传送一个XMLRPC到B站,B站收到通知就会到A站检查连结是否存在。而Pingback在任何WordPress网站的预设值都是启用的。
Securi技术长Daniel Cid表示,骇客滥用了Pingback功能,利用至少16.2万个WordPress网站来瘫痪目标网站。
以WordPress架站的使用者,若怀疑自己可能沦为DDoS帮凶,可以检视网站有否任何XMLRPC档案的POST请求,倘若当中含有随机网址的Pingback执行,那么网站应该已被滥用。
Securi已开发一wordpress -ddosing”>检测工具让WordPress站长扫瞄自己的网站是否被用来攻击其他网站,并建议站长关闭网站的Pingback功能。
WordPress及其核心开发团队都已知道此一问题,但最大的挑战在于骇客所利用的是合法的功能,而非平台漏洞,因此也许不会有任何修补措施,但可能会有可分辨流量好坏的配套方案出炉。
WordPress是全球最受欢迎的部落格架站平台,不但是个人部落客架站的第一选择,同时也是全球许多知名新闻网站所采用的架站软体。根据最新数字,目前全球wordpress .com/stats/” target=”_blank”>使用WordPress的网站已有将近7700万个。(编译/陈晓莉)