כיצד להשבית Pingback של וורדפרס כדי למנוע Pingback Brute Force?

  • פורסם:
  • 2 דקות

מבוא

וורדפרס היא מערכת ה CMS הפופולרית ביותר והיא גדלה ללא הרף. אבל החיסרון הוא שהפופולריות של וורדפרס מעודדת האקרים למצוא שיטות חדשות לניצול אתרי וורדפרס. לדוגמה, ניצול XML-RPC של וורדפרס שימש לאחרונה להפעלת מניעת שירות מבוזרת (DDoS) והתקפות Bruteforce נגד אתרי וורדפרס.

וורדפרס משתמשת בממשק XML-RPC, המאפשר למשתמשים לפרסם באתר וורדפרס דרך לקוחות בלוג פופולריים. וורדפרס תומכת ב-Blogger API, MetaWeblog API, Movable Type API ו-Pingback API.

תוספי וורדפרס יכולים להרחיב עוד יותר את הפונקציונליות הזו כמו ג'טפאק או האפליקציה בטלפון של ווקומרס.
WordPress XML-RPC גם מאפשר לתוקפים לנצל אתרי וורדפרס כך שאתרי וורדפרס מנוצלים יכולים לשמש כפלטפורמה להפעלת התקפות באמצעות ניצול פינגבק.

מה זה Pingback ואיך זה עובד?

Pingback היא פונקציונליות מובנית של קישור חוזר שניתן להשתמש בה כדי לקבל התראה כאשר מישהו מקשר לפוסטים בבלוג שלך. כאשר אתה מפעיל את הפינגבק באתר וורדפרס שלך ומפרסם תוכן שמקשר לאתר אחר,
בקשת XML-RPC נשלחת לאתר אחר אשר תבצע pingback אוטומטית לאתר המקור כדי לוודא אם הקישור הנכנס פעיל או לא.

התהליך עובד כך:

  1. פרסמתם פוסט בבלוג שלכם.
  2. מישהו מפרסם פוסט בבלוג שלו עם קישור לאחד מהבלוגים שלך.
  3. פלטפורמת הבלוגים שלו תשלח לך אוטומטית פינגבק.
  4. פלטפורמת הבלוגים שלך תקבל את הפינגבק.
  5. זה יעבור אוטומטית לבלוג שלך כדי לוודא שהקישור קיים שם.
  6. כעת, אנו יכולים להציג את הפינגבק שלך כהערה בבלוג שלנו.
  7. זה יהיה קישור לאתר שלך.

למה כדאי להשבית פינגבקים?

ניתן להשתמש באתר וורדפרס עם Pingback מופעל בהתקפות DDOS נגד אתרים אחרים. תוקף יכול לנצל פונקציונליות של pingback באמצעות פקודות פשוטות ובקשת XML-RPC. לפיכך, ניתן לנצל אלפי אתרי וורדפרס לגיטימיים כדי להפעיל מתקפת DDoS בקנה מידה גדול.

כיום, תוקפים משתמשים בפרצות XML-RPC ובפונקציית XML-RPC wp.getUsersBlogs כדי ליצור התקפות גסות בקנה מידה גדול נגד אתרי וורדפרס. WordPress XML-RPC דורש שם משתמש וסיסמה,
כך שתוקפים משתמשים כעת בשיטה כמו wp.getUsersBlogs כדי לנחש סיסמאות רבות ואולי לקבל גישה לחשבונות אדמין של וורדפרס. במקום הפעלת כוח גס בדף wp-admin, התוקפים החלו להשתמש ב-XML-RPC,
השיטה המהירה ביותר ליצור כח גס וקשה יותר לזיהוי.

איך להשבית פינגבקים בוורדפרס?

ישנם מס' רב של שיטות, הדרך הקלה ביותר באם אתר הוורדפרס שלכם מאוחסן בשירותי אחסון וורדפרס שלנו, הוא דרך מנהל הוורדפרס שלכם אצלנו - 

ניגשים לWordpress Manager - 

cpanel wordpress manager

כעת, על מנת שנוכל להקשיח את אבטחת אתר הוורדפרס בקליק, יש לסמן את ההתקנת וורדפרס לה תרצו לבצע הקשחת אבטחה בקליק בצורה הבאה -

סימון התקנת וורדפרס

ונלחץ על Security Measures,

בתוך Security Measures, נסמן disable pingbacks ונלחץ Apply -

חסימת פינגבאקים