WordPress の XML-RPC 機能の実装に起因する DoS の脆弱性(Scan Tech Report) | ScanNetSecurity
WordPressのXML-RPCの設定見直し
これで防げると思ってたんだけど 実際 pingback.ping は呼び出せた。WordPressのソースを確認したら xmlrpc_enabled フィルタでチェックしているのは認証が必要なパターンのときだった。pingback.pingは防げない・・・ というわけでPinbackを無効にするにはやっぱりxmlrpc_methodsフィルタを使うのが良い。 if ( function_exists( 'add_filter' ) ) { add_filter( 'xmlrpc_methods', 'remove_xmlrpc_pingback_ping' ); } function remove_xmlrpc_pingback_ping($methods) { unset($methods['pingback.ping']); return $methods; } しかしながら xmlr
踏み台にされたくないのでXML-RPCを無効にした
こちらのサイトのおかげでWordPressのPingback機能が危ないことを知った。 DoSの踏み台にされているJPドメインのWordPressをまとめてみた http://d.hatena.ne.jp/Kango/20140313/1394673178 とりあえずSucuriのチェックサイトでは検出されていないようだが念の為に無効にすべきだろうか、そして無効にしてその弊害になるのは何だろうか。 今度はWordPressが踏み台に、Pingback機能を悪用しDDoS攻撃 http://www.atmarkit.co.jp/ait/articles/1403/13/news133.html この問題は、自分の投稿に対してリンクが張られたことを知らせるPingback機能を悪用したものだ。WordPressのPingback機能はXML-RPC APIを用いて実装されている。このAPI(x
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
