大批 WordPress 網站被滲透 ，成為 DDOS 攻擊源

近日，Sucuri的安全研究人員發現，數萬WordPress站點被利用于實施第7層DDos攻擊。共有兩萬六千個不同的WordPress站點持續向同一個網站以每秒一萬到一萬一千次的頻率發送HTTPS請求，最多時能達到兩萬次每秒。更嚴重是，如果Pingback功能默認開啟，全球任何一個WordPress站點都可能被利用，成為DDos攻擊網絡的一個源頭。

HTTP Flood是針對Web服務在第七層協議發起的大規模流量攻擊，不僅可以直接導致被攻擊的Web前端響應緩慢，還間接攻擊到后端的Java等業務層邏輯以及更后端的數據庫服務，增大它們的壓力，甚至對日志存儲服務器都帶來影響。

建議所有基于Wordpress的網站盡快禁用Pingback。雖然無法保證網站免于遭受攻擊，但會終止黑客利用您的網站來攻擊其它目標。

最好的做法是，如果你確定不用pingbacks，就和xmlrpc一并關閉。如果需要使用，可以簡單修改.htaccess文件，只允許白名單中的IP來存取文件。流行插件Jetpack也可用于流量監控。

WordPress的pingback服務可被DDoS攻擊利用，這個漏洞早有披露，但至今仍有大量網站存在此問題，原因在于網站所有者很少刻意防止網站被僵尸網絡捕獲。而由于這種DDoS攻擊中流量來自數千個不同IP，基于網絡的防火墻也無法識別和攔截，只能限制每個IP地址的訪問頻率。

研究人員還發現，大多數實施攻擊的源網站托管在知名VPS/云服務提供商：亞馬遜的AWS、Digital Ocean、谷歌云、微軟的Azure、HETZNER、OVH和Linode。

原文地址：Thousands of WordPress websites used as a platform to launch DDOS

中文稿源：freebuf

來自： http://www.oschina.net//news/71021/wordpress-ddos-source