Mercredi, BreachTrace a été victime d’une attaque assez importante qui a exploité une fonctionnalité dans plus de 42 000 blogs exécutant le populaire WordPress système de gestion de contenu (ce blog fonctionne sur WordPress). Ce message est un effort pour faire passer le mot aux autres utilisateurs de WordPress afin de s’assurer que leurs blogs ne sont pas utilisés dans des attaques à l’avenir.
Le problème est la fonction « pingback », une fonctionnalité intégrée à WordPress et à de nombreux autres outils CMS conçus pour notifier (ou envoyer un ping) à un site que vous avez lié à son contenu. Malheureusement, comme la plupart des choses utiles sur le Web, les parasites et les lowlifes du monde transforment les pingbacks en une fonctionnalité à désactiver, de peur qu’elle ne soit utilisée pour attaquer les autres.
Et c’est exactement ce qui se passe. Plus tôt cette semaine, une société de sécurité de sites Web Sucuri Sécurité averti qu’il a vu des attaquants abuser de la fonction pingback intégrée à plus de 160 000 blogs WordPress pour lancer des attaques paralysantes contre d’autres sites.
« Tout site WordPress avec Pingback activé (qui est activé par défaut) peut être utilisé dans des attaques DDOS contre d’autres sites », a écrit Daniel Cid de Sucuri. « Un attaquant peut utiliser des milliers de sites WordPress populaires et propres pour effectuer son attaque DDOS, tout en étant caché dans l’ombre, et tout cela se produit avec une simple demande de retour de ping. »
Les blogueurs peuvent désactiver le pingback sur les publications en cliquant sur « Paramètres » puis sur « Discussion », puis en décochant les options suivantes si elles sont cochées :
-Essayer de notifier tous les blogs liés à partir de l’article
-Autoriser les notifications de liens d’autres blogs (pingbacks et trackbacks)
Malheureusement, a déclaré Cid, cela ne semble empêcher les pingbacks que sur les nouveaux articles de blog et ne fait rien pour désactiver les pingbacks sur les articles déjà publiés pour lesquels le pingback était précédemment activé. Il existe cependant une plugin WordPress hautement coté qui désactive la fonctionnalité de pingback.
Comme le note Sucuri, pour les réducteurs qui ne font pas confiance aux plugins, un moyen simple d’empêcher votre blog WordPress de participer à ces attaques est de créer votre propre plugin qui incorpore le code suivant :
add_filter( ‘xmlrpc_methods’, function( $methods ) {
unset( $methods[‘pingback.ping’] );
retourne $methods ;
} );
Sucuri a refusé de publier la liste des sites WordPress utilisés dans ces attaques, mais il a a mis en ligne un outil que les administrateurs de blog peuvent utiliser pour savoir si leurs blogs sont apparus dans les journaux d’attaque.
Mon fournisseur d’hébergement a partagé avec moi une liste des blogs WordPress qui ont été utilisés dans l’attaque contre ce blog. Je le partage ici pour attirer l’attention des administrateurs de WordPress. Je me rends compte que certains lecteurs verront cela comme une feuille de route pour les attaques, mais j’espère que rendre ces informations publiques réduira le nombre de blogs pouvant être utilisés lors de futures attaques de ce type.
Les gars de chez OpenDNS disposer de plus de données brutes sur ces attaques dans un article de blog cela vaut la peine d’être lu.