DOS аттака на Wordpress через файл wp-trackback.php

Категории: Безопасность

Найдена новая уязвимость, которая позволяет провести DOS-атаку на ваш блог, с помощью файла wp-trackback.php.

Используя специальный скрипт злоумышленник может провести DOS-атаку на ваш блог. В результате чего блог перестанет отвечать на запросы пользователей, либо будет делать это слишком медленно из-за загруженности сервера хостинга.

Для того, чтобы обезопасить блог от данной атаки необходимо добавить следующие строчки в файл functions.php в папке шаблона вашего блога:

function ft_stop_trackback_dos_attacks(){
       global $pagenow;
       if ( 'wp-trackback.php' == $pagenow ){
               // DoS attack fix.
               if ( isset($_POST['charset']) ){
                       $charset = $_POST['charset'];
                       if ( strlen($charset) > 50 ) {  die; }
               }
       }
}
add_action('init','ft_stop_trackback_dos_attacks');

Если вы не хотите или не имеете возможности редактировать файлы шаблона, вашего блога, необходимо скачать и установить плагин, который обезопасит ваш блог от данной уязвимости.

Если вы ничего не боитесь, просто ожидайте, пока выйдет версия исправляющая данную уязвимость, теоретически это будет версия 2.8.5, и выйдет она либо сегодня ночью, либо завтра утром.

Bookmark and Share

Facebook Twitter StumbleUpon del.icio.us Digg Reddit Technorati RSS

Опубликовано 20 Октябрь 2009

Метки: , ,

This website uses IntenseDebate comments, but they are not currently loaded because either your browser doesn't support JavaScript, or they didn't load fast enough.

Комментарии: 5Напишите свой комментарий!

  1. Вадим Кысса Написал(а):
    20 Октябрь 2009 at 6:02 пп

    Будем ждать новой версии, осталось совсем мало :)

  2. WOLF BESPREDEL Написал(а):
    21 Октябрь 2009 at 12:41 дп

    А мужики-то не знают :) А при отключении trackback'a уязвимость становиться не актуальной, если я правильно понял?

  3. Dmitriy Donchenko Написал(а):
    21 Октябрь 2009 at 12:55 дп

    Совершенно неправильно, потому что проверка включения трекбэка происходит после кода через который реализуется уязвимость.

    Да и не думаю я, что кто-то бы стал плагины и функции придумывать, если бы можно было просто отключить трекбеки.

  4. WOLF BESPREDEL Написал(а):
    21 Октябрь 2009 at 1:09 дп

    Спасибо, пошёл наводить панику :)

  5. Autobing Написал(а):
    21 Октябрь 2009 at 4:21 пп

    Спасибо за полезную инфу, а новая версия будет тяжелее, добавлены новые функции

4 Trackbacks For This Post

  1. Уязвимость в файле wp-trackback.php | Безопасность WordPress блогов Says:
    Октябрь 21st, 2009 at 1:26 дп

    [...] Эксплоит уязвимости: jarraltech.com/2009/10/new-0-day-wordpress-exploit/ Источник: blogproblog.com/wp-trackback_dos_attack/ [...]

  2. Новая версия Wordpress 2.8.5 | Блог про блоги от Дмитрия Донченко Says:
    Октябрь 21st, 2009 at 8:05 дп

    [...] я писал о том, что в Wordpress найдена уязвимость, с помощью которой злоумышленники могут провести [...]

  3. Вышла новая версия WordPress – 2.8.5 — страница 1 | Заметки архитектора Says:
    Октябрь 22nd, 2009 at 6:20 пп

    [...] Донченко Вчера я писал о том, что в Wordpress найдена уязвимость, с помощью которой злоумышленники могут провести [...]

  4. Статистика за октябрь 2009 | Блог про блоги от Дмитрия Донченко Says:
    Ноябрь 4th, 2009 at 10:53 дп

    [...] DOS атака на Wordpress – уведомление о новой уязвимости в Wordpress блогах. Статья стала популярной, по большей мере благодаря тому, что вылезла неплохо на Хабрахабре. [...]

Leave a Comment Here's Your Chance to Be Heard!

Рейтинг@Mail.ru BlogMemes.ru Rambler's Top100 Яндекс цитирования