Специалисты из Sucuri вновь сообщают о массовых кибератаках на сайты под управлением WordPress. Теперь злоумышленники осуществляют Layer 7 DDoS-атаки, использующие функцию pingback. Следует отметить, что организацией кибератак занимает ботнет, состоящий из WordPress-сайтов.
Layer 7 отличаются от обычных DDoS-атак тем, что они проводятся на уровне приложений. Созданные специальным образом пакеты повышают нагрузку на CPU, вызывая выход из строя сайта жертвы.
Проблема с функцией pingback, которую можно задействовать для организации DDoS-атак, существует в WordPress уже давно. Несколько лет назад разработчики WordPress даже пытались ликвидировать проблему путем внедрения в версию 3.9 инструмента, позволяющего вести логи pingback-запросов. В теории благодаря этому функционалу администраторы сайтов могут оперативно определять IP-адреса атакующих и добавлять их в черный список, но это мало кто применяет на практике.
Сейчас экспертами компании Sucuri была выявлена киберкампания, которая сочетает в себе две техники, описанные выше. Свыше 26 тысяч WordPress-сайтов были объединены в ботнет, который осуществляет атаки на другие порталы под управлением данной CMS. Ботнет делает в секунду около 10-20 тысяч HTTPS-запросов, концентрируя свои усилия против сервиса WordPress XML-RP. Сервер, на котором расположен портал, должен выделять данному сайту больше ресурсов CPU и памяти, поскольку нелегко поддерживать такое количество зашифрованных соединений.
Как утверждают эксперты Sucuri, администратор может обеспечить защиту от атак на XML-RPC не только путем установки патча для pingback, но и с помощью правильной настройки фильтрации.