• June 1, 2017

    เป็นเรื่องฟีเจอร์ ของ WordPress ถูกนำไปใช้ในทางเสียหาย
    บริษัทความปลอดภัย Sucuri รายงานว่าพบเว็บไซต์ WordPress มากถึง 162,000 เว็บถูกใช้เป็นฐานยิง DDoS ถล่มเว็บไซต์บางแห่งจนไม่สามารถใช้งานได้ จากการตรวจสอบว่าสาเหตุเกิดจากฟีเจอร์ XML-RPC ซึ่งเป็นช่องทางให้แอพภายนอกเรียกใช้งาน WordPress
    (เช่น การเขียนบล็อกด้วยแอพ, pingback, trackback) ที่ถูกเปิดมาเป็นค่าดีฟอลต์ของ WordPress ทุกเว็บไซต์อยู่แล้ว
    ช่องโหว่ของ WordPress คือเปิดให้ “ใครก็ได้” ที่รู้ URL สามารถรันคำสั่งผ่าน XML-RPC บนเว็บไซต์ของเราได้ ซึ่งในกรณีนี้ แฮ็กเกอร์เรียก XML-RPC บนเว็บไซต์จำนวนมากให้ pingback ไปยังเว็บไซต์เป้าหมายแห่งเดียวกันจนเว็บล่มนั่นเอง

    (ตรวจสอบเว็บไซต์ของเราว่าถูกใช้เป็นฐานสำหรับ DDoS หรือไม่)
    http://labs.sucuri.net/?is-my-wordpress-ddosing

    ปัญหานี้วงการ WordPress รับทราบกันมานานแล้ว แต่ก็ไม่ได้แก้ไขเพราะถือว่าเป็น “ฟีเจอร์” ตอนนี้คนที่อยากปิดการทำงานของ XML-RPC คงต้องใช้วิธีอื่น เช่น ลบหรือเปลี่ยนชื่อไฟล์ xmlrpc.php หรือสร้างปลั๊กอินเล็กๆ มาปิดการทำงานของมันไปก่อน รายละเอียดดูได้ตามลิงก์ที่มา
    ที่มา – Sucuri

    หรือ ใช้ plugin
    https://th.wordpress.org/plugins/stop-xmlrpc-attack/

    หรือ
    ถ้าใครมั่นใจว่าไม่ได้ใช้ชัวร์ๆ ก็ปิดทิ้งไปเลย  ใช้ .htaccess

    <Files xmlrpc.php>
    	Order Deny,Allow
    	Deny from all
    </Files>

    หรือถ้าใช้บ้าง ก็เปิด เป็นรายไอพี

    <Files xmlrpc.php>
    	Order Deny,Allow
    	Deny from all
    	Allow from 123.456.789
    	Allow from 321.654.987
    </Files>


เวอไนน์ไอคอร์ส

ประหยัดเวลากว่า 100 เท่า!






เวอไนน์เว็บไซต์⚡️
สร้างเว็บไซต์ ดูแลเว็บไซต์

Categories