来自 资讯 2022-06-19 20:50 的文章

高防御cdn_浪琴高防手表价格图片_免费测试

高防御cdn_浪琴高防手表价格图片_免费测试

Incapsula:WordPress默认设置为DDoS攻击打开了网站

根据最近的研究,流行的内容管理系统WordPress拥有一个默认设置,该设置很容易被破坏。

IT安全供应商Incapsula的首席执行官Gur Shatz,在一篇博客文章中写道,其公司最近缓解的分布式拒绝服务(DDoS)攻击暴露了此漏洞。

"这些网站未受到破坏、接管或扎根。相反,攻击者利用现有WordPress漏洞滥用该网站,将其挤入自愿僵尸网络,"他写道。

默认功能称为"pingback",通常用于创建"WordPress对任意网站的请求"。然而,在本例中,它导致一台机器从不同的位置生成数百万个请求。

"这使任何攻击者都能获得一组几乎无限的IP地址,从而在超过1亿个WordPress站点的网络上分发拒绝服务攻击,而不必破坏这些站点,Shatz写道:

这是过去一个月内涉及WordPress网站受损的第二起此类事件。据报道,博客平台最近遭到了一次大规模攻击,网吧DDOS防御多大合适,该攻击是由一个僵尸网络引发的,僵尸网络由数万台希望获取登录凭据的计算机组成。

Krebs on Security在4月中旬报告称,ddos防御防护设备,不断增长的僵尸网络由大约90000台web服务器组成,试图使用基本密码"admin"对单个wordpress站点进行"暴力攻击"。

这种新攻击的不同之处在于,它只是利用默认启用的wordpress功能。根据此未解决的安全问题,在过去六年中,一个明显已知的漏洞。

"任何启用Pingback功能的网站都很容易受到攻击,黑客可以利用它发起拒绝服务攻击,"Shatz写道。

根据W3Techs的调查,WordPress目前在17.6%的网站上使用,这使得该漏洞的潜在范围非常大。

Incapsula指出,ddos防御与入侵防护区别,该攻击源于大约2500个WordPress网站,包括一些非常大的网站,如Trendmicro.com,Gizmodo.it和Zendesk.com.

最近的攻击发生在WordPress推出新的两步身份验证功能一个月后,ddos攻击的检测与防御研究,该功能旨在提高管理员的安全性。

Shatz为那些希望消除这种潜在威胁的人提供了一些非常简单的建议。

"要自己动手,请登录您的web主机控制面板(cPanel),并在WordPress安装的根目录中删除或重命名xmlrpc.php,高防CDN评价,"他写道。