Volgens een bericht op Sucuri worden ruim 162.000 WordPress website gebruikt in het maken van DDoS aanvallen. Niet direct vanaf de website, maar via een omweg.
WordPress heeft standaard Pingback actief staan. Deze Pingback wordt gebruikt om websites waarnaar gelinkt wordt in berichten een berichtje (ping) te sturen, waarna deze ping vaak wordt neergezet als reactie op de gelinkte pagina (afhankelijk van het systeem en het ontwerp dat is gebruikt).
Het enige dat iemand hoeft te doen is een specifiek commando uit te voeren in Linux:
$ curl -D - "www.anywordpresssite.com/xmlrpc.php" -d '<methodCall><methodName>pingback.ping</methodName><params><param><value><string>https:\/\/victim.com</string></value></param><param><value><string>www.anywordpresssite.com/postchosen</string></value></param></params></methodCall>'
Gekopieerd uit het stuk van Sucuri dat hierboven gelinkt is
Als zo’n commando wordt ingeprogrammeerd, en daardoor dus geautomatiseerd verzonden wordt, dan kunnen er ongelooflijk veel “pings” naar 1 website gestuurd worden (waardoor die in veel gevallen plat gegooid wordt omdat de server de hoeveelheid aanvragen niet aan kan). Er kunnen ook ongelooflijk veel websites tegelijkertijd het slachtoffer worden.
Pingback uitschakelen
Om te voorkomen dat jouw site hiervoor gebruikt wordt kun je de Pingback service uitschakelen. Het enige dat je daarvoor hoeft te doen is het volgende toevoegen aan de functions.php van jouw thema (gekopieerd van Sucuri):
add_filter( ‘xmlrpc_methods’, function( $methods ) {
unset( $methods['pingback.ping'] );
return $methods;
} );Krijg je daar een foutmelding op? Probeer het dan met deze code:
add_filter( ‘xmlrpc_methods’, 'onx_disable_pingback' );
function onx_disable_pingback( $methods ) {
unset( $methods['pingback.ping'] );
return $methods;
}Sla dan het bestand op.
Weten of jouw site is gebruikt?
De mensen van Sucuri hebben een pagina (WordPress DDoS Scanner) gemaakt waar jij kunt checken of jouw website gebruikt wordt om een DDoS aanval mee te versturen.
