DDos WordPress

Wie auf heise.de am 14.03.14 zu lesen war, wurden etliche WordPress Blogs mittels einer Funktion, die eigentlich nicht dafür vorgesehen war für eine so genannte Denial-of-Service Attake (DDos) missbraucht, ohne das die Blogbetreiber etwas davon mit bekamen. Ausgenutzt wurde dafür die Pingback Funktion welche eigentlich dazu dient, dass andere Blog Artikel abragen können, die der Blogbetreiber erstellt hat. Wird hierfür allerdings ein nicht vorhandener Artikel angefragt, produziert der Server verständlicher Weise einen 404 Fehler (Seite nicht gefunden) und wenn diese Abfrage mehrfach in der Sekunde wiederholt wird, kann dieses den betroffenen Blog ausbremsen, oder schlimmstenfalls die Datenbank der WordPress Installation außer Gefecht setzen.

Da dieses allerdings eine „gute“ Funktion von WordPress betrifft welche da missbraucht wird ist kaum mit einem Update, oder gar dem Wegfall der Pingback Funktion zu rechnen.

Auf Sucuri.net ist ein Artikel dies bezüglich veröffentlicht, mit der Empfehlung zur Verwendung eines Source Codes, der dann zumindest die Pingbacks ausschaltet, aber Trackbacks noch zulassen dürfte. Man schlägt vor, daraus ein Plugin zu kreieren und den Filter darin zu implementieren. Ich wage mal zu behaupten, dass es völlig ausreicht diesen Code in die functions.php des verwendeten Themes zu packen, da nicht damit zu rechnen ist, dass Blogbetreiber öfter ein neues Theme auf dem Blog verwenden. Zumal ja jedes weitere verwendete Plugin bei WordPress auch auf die Server Recourcen geht und es auch Blogs bei Hostern gibt, welche nur 64M im PHP Memory Limit zur Verfügung stellen. Da heißt es dann also Haushalten beim Plugin Einsatz.

add_filter( ‘xmlrpc_methods’, function( $methods ) {
   unset( $methods['pingback.ping'] );
   return $methods;
} );
Erstellt am: 15. März 2014