Risco de DOS no WordPress 2.8.4
A versão mais recente do WordPress está vulnerável a um ataque, simples de ser feito, que pode levar o servidor onde ele está instalado a exaustão de recursos. O exploit explora uma falha no arquivo wp-trackback.php e pode deixar o WordPress consumindo recursos do servidor indefinidamente. O grande problema deste ataque é que, quando percebido, você não tem como acessar o servidor para parar o ataque, uma vez que o load estará altíssimo.
Acabei de receber pela lista wp-hackers, com dicas de um plugin ou uma alteração no seu tema (que faz a mesma coisa que o plugin):
Hi All,
There have been several reports this morning of a DOS attack affecting the WordPress wp-trackback.php file.* [original post] http://www.stevefortuna.com/new-0-day-wordpress-exploit/
* http://jarraltech.com/2009/10/new-0-day-wordpress-exploit/
* http://www.hashbangcode.com/blog/wordpress-dos-attack-script-solution-2135.htmlAll the the solutions have been the same thus far and require editing your .htaccess file or the wp-trackback.php file.
FullThrottle has composed this quick plugin that accomplishes the same thing as the edit to the wp-trackback.php file.
We will update this post and our code if further insight into the attack deems it necessary.
We'd greatly appreciate any feedback this list has as well.You can download the plugin to test here:
http://fullthrottledevelopment.com/wordpress-plugin-to-stop-trackback-dos-attacks
or place the following in your theme's functions.php file:
PHP:Thanks,
Glenn Ansleyhttp://fullthrottledevelopment.com
Para proteger um servidor inteiro
Quem tem um ou vários servidores com várias instalações do WordPress, a solução acima pode ser um problema e acabar sendo atingido antes de acabar de configurar. Uma solução rápida, enquanto não resolve todas as instalações do WordPress ou, mesmo, aguarda uma nova atualização, é bloquear o acesso ao arquivo wp-trackback.php no servidor.
Para quem usa Apache, coloque as linhas abaixo no final do arquivo de configuração global (ex.: apache2.conf):
Order allow,deny
Deny from all
</Files>
Para quem usa Lighttpd, coloque as linhas abaixo no final do arquivo de configuração global (ex.: lighttpd.conf):
url.access-deny = ( "" )
}
12 Comentários para “Risco de DOS no WordPress 2.8.4”
Comente
Acompanhar
[...] This post was mentioned on Twitter by Bruno Alves, Daniel Becher. Daniel Becher said: RT @brunoalves: [URGENTE] Risco de DOS no WordPress 2.8.4- BrPoint http://ow.ly/vsuU [...]
[...] This post was Twitted by TauraFigueiredo [...]
[...] em wordpress na última versão, é melhor ler o artigo publicado no BrPoint. O artigo intitulado Risco de DOS no Wordpress 2.8.4 revela que essa versão do Wordpress está vulnerável a um ataque simples de ser [...]
[...] Bruno Alves (fonte extremamente confiável) explica (neste post) como o ataque pode acontecer, e também ensina os meios de [...]
Social comments and analytics for this post…
This post was mentioned on Twitter by Becher: RT @brunoalves: [URGENTE] Risco de DOS no WordPress 2.8.4- BrPoint http://ow.ly/vsuU...
Valeu pela dica, já está aplicado lá no Blog!
Henrique, obrigado
Boa dica!! Mas me fala, a v2.8.5 já está imune a esse problema??
Fernando, sim, o problema já foi corrigido na versão 2.8.5, basta atualizar o blog.
Abraço
[...] Mais informações [...]
Eu falei sobre a atualização do WordPress em meu blog, mas ainda não tinha idéia da extensão do problema até ler este artigo. Vale frizar que a equipe de desenvolvimento ainda não deu o caso por encerrado e continua de olho nessa eventualidade.
PS.: Só mais uma coisa, para mim o seu blog está carregando lentamente e este tema ficou pesado.
Twitter Comment
@vitoravale Curta [link to post]
– Posted using Chat Catcher