Zvolené téma obsahuje celkem 3 odpovědi. Do diskuze (2 účastníci) se naposledy zapojil uživatel Lukenzi a poslední změna je stará 11 let, 3 měsíce.
-
Byla objevena bezpečnostní chyba, na kterou v tuto chvíli neexistuje oprava.
Více zde
Zajímavé, také jsem si toho všiml, ale nevěděl jsem, že na to už existuje speciální nástroj :-) Takže nepomůže ani zakázání protokolu XML-RPC (ve WordPressu 3.5 je mimochodem defaultně zapnutý)?
Jestli jsem dostupné informace pochopil správně tak ne, protože tím se pouze deaktivují funkce pro pingování používané ve WP. Samotný soubor xmlrpc.php při určitém použití vrací informace ze kterých lze zjistit právě například zda je některý konkrétní port otevřený nebo zda na serveru existuje určitá URL adresa.
Lze tak například zjistit, že na serveru použíte neaktualizovaný bugtrack a pak již není problém najít nějaký exploit k získání přístupu. Také se píše o možnosti překonfigurovat router, ale to jsem zatím nějak nepochopil.
Jen doplním pár drobností:
1) Tato chyba je ve WP neopravená minimálně od roku 2007 (viz report na secunii #24951)
2) Na možnost použít WP jako nástroj pro DoS útoky na jakýkoliv web byl bezpečnostní tým WordPressu upozorněn minimálně 2x emailem a jednou v tracku a vždy tuto chybu zamítl s nějakou nesmyslnou odpovědí (to je asi běžné, mám podobnou zkušenost…)
3) Existuje již několik podrobných návodů i s potřebnými scripty jak DoS útok na jakýkoliv web pomocí WordPressu spustit
4) Od roku 2007 bylo DoS útokem způsobeným pravděpodobně díky této chybě napadeno již několik velkých serverů (např. Cloudflare)
5) Do některých DoS útoků byly zapojeny i blogy některých vývojářů WordPressu :)
6) Chybu na stejném principu obsahují i jiné systémy např. drupal a joomla
7) Stále není oprava…
Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.
WordPress – novinky, návody a zajímavosti