Уязвимость WordPress — возможна DOS-атака

WordPress стал очень популярной площадкой для ведения блогов, вот поэтому свежие уязвимости в нем находятся очень часто. На этот раз возможно DOS-атака (Denial of Service, отказ в обслуживании) на площадку, на которой расположен ваш блог.

Для примера, тестирование уязвимости выявило следующие результаты: 21:30:29 up 21 days, 1:06, 19 users, load average: 49.06, 27.11, 19.24

Если вы беспокоитесь за безопасность вашего блога, то есть несколько путей решения проблемы.

1. Дождаться выхода версии 2.8.5

2. Временно закрыть доступ к файлу wp-trackback.php через .htaccess

<Files ~ "wp-trackback.php">
Order allow,deny
Deny from all
</Files>

3. Установить дополнительные плагин, который закрывает уязвимость.

4. Добавить следующие строчки кода в файл functions.php

<span style="color: #000000; font-weight: bold;">function</span> ft_stop_trackback_dos_attacks<span style="color: #009900;">(</span><span style="color: #009900;">)</span><span style="color: #009900;">{</span> <span style="color: #000000; font-weight: bold;">global</span> <span style="color: #000088;">$pagenow</span><span style="color: #339933;">;</span> <span style="color: #b1b100;">if</span> <span style="color: #009900;">(</span> <span style="color: #0000ff;">'wp-trackback.php'</span> <span style="color: #339933;">==</span> <span style="color: #000088;">$pagenow</span> <span style="color: #009900;">)</span><span style="color: #009900;">{</span> <span style="color: #666666; font-style: italic;">// DoS attack fix.</span> <span style="color: #b1b100;">if</span> <span style="color: #009900;">(</span> <span style="color: #990000;">isset</span><span style="color: #009900;">(</span><span style="color: #000088;">$_POST</span><span style="color: #009900;">[</span><span style="color: #0000ff;">'charset'</span><span style="color: #009900;">]</span><span style="color: #009900;">)</span> <span style="color: #009900;">)</span><span style="color: #009900;">{</span> <span style="color: #000088;">$charset</span> <span style="color: #339933;">=</span> <span style="color: #000088;">$_POST</span><span style="color: #009900;">[</span><span style="color: #0000ff;">'charset'</span><span style="color: #009900;">]</span><span style="color: #339933;">;</span> <span style="color: #b1b100;">if</span> <span style="color: #009900;">(</span> <span style="color: #990000;">strlen</span><span style="color: #009900;">(</span><span style="color: #000088;">$charset</span><span style="color: #009900;">)</span> <span style="color: #339933;">&gt;</span> <span style="color: #cc66cc;">50</span> <span style="color: #009900;">)</span> <span style="color: #009900;">{</span> <span style="color: #990000;">die</span><span style="color: #339933;">;</span> <span style="color: #009900;">}</span> <span style="color: #009900;">}</span> <span style="color: #009900;">}</span> <span style="color: #009900;">}</span> add_action<span style="color: #009900;">(</span><span style="color: #0000ff;">'init'</span><span style="color: #339933;">,</span><span style="color: #0000ff;">'ft_stop_trackback_dos_attacks'</span><span style="color: #009900;">)</span><span style="color: #339933;">;</span>

1 2 3 4 5 6 7 8 9 10 11

<span style="color: #000000; font-weight: bold;">function</span> ft_stop_trackback_dos_attacks<span style="color: #009900;">(</span><span style="color: #009900;">)</span><span style="color: #009900;">{</span>        <span style="color: #000000; font-weight: bold;">global</span> <span style="color: #000088;">$pagenow</span><span style="color: #339933;">;</span>        <span style="color: #b1b100;">if</span> <span style="color: #009900;">(</span> <span style="color: #0000ff;">'wp-trackback.php'</span> <span style="color: #339933;">==</span> <span style="color: #000088;">$pagenow</span> <span style="color: #009900;">)</span><span style="color: #009900;">{</span>                <span style="color: #666666; font-style: italic;">// DoS attack fix.</span>                <span style="color: #b1b100;">if</span> <span style="color: #009900;">(</span> <span style="color: #990000;">isset</span><span style="color: #009900;">(</span><span style="color: #000088;">$_POST</span><span style="color: #009900;">[</span><span style="color: #0000ff;">'charset'</span><span style="color: #009900;">]</span><span style="color: #009900;">)</span> <span style="color: #009900;">)</span><span style="color: #009900;">{</span>                        <span style="color: #000088;">$charset</span> <span style="color: #339933;">=</span> <span style="color: #000088;">$_POST</span><span style="color: #009900;">[</span><span style="color: #0000ff;">'charset'</span><span style="color: #009900;">]</span><span style="color: #339933;">;</span>                        <span style="color: #b1b100;">if</span> <span style="color: #009900;">(</span> <span style="color: #990000;">strlen</span><span style="color: #009900;">(</span><span style="color: #000088;">$charset</span><span style="color: #009900;">)</span> <span style="color: #339933;">&gt;</span> <span style="color: #cc66cc;">50</span> <span style="color: #009900;">)</span> <span style="color: #009900;">{</span>  <span style="color: #990000;">die</span><span style="color: #339933;">;</span> <span style="color: #009900;">}</span>                <span style="color: #009900;">}</span>        <span style="color: #009900;">}</span> <span style="color: #009900;">}</span> add_action<span style="color: #009900;">(</span><span style="color: #0000ff;">'init'</span><span style="color: #339933;">,</span><span style="color: #0000ff;">'ft_stop_trackback_dos_attacks'</span><span style="color: #009900;">)</span><span style="color: #339933;">;</span>

5. Или добавить в файл wp-trackback.php, строчка 47:

if(strlen($charset) > 50)
die;

Вы можете выбрать один из предложенных мною вариантов.