Comment protéger WordPress contre les attaques DoS CVE-2018-6389
WP Cerber Security 6.2 offre une protection contre une attaque par déni de service (DoS) qui exploite la vulnérabilité récemment découverte CVE-2018-6389
English version: How to protect WordPress against CVE-2018-6389 DoS attacks
Il faut préciser qu'il ne s'agit pas d'une vulnérabilité critique et qu'elle ne permet pas à un pirate de pénétrer dans le site Web d'une victime. Il s'agit plutôt d'un défaut de conception qui permet à n'importe qui de mettre à genoux un site Web fonctionnant sous WordPress facilement. Les acteurs malveillants peuvent l'utiliser pour faire tomber votre boutique en ligne. L'attaque peut être lancée depuis n'importe quel ordinateur par n'importe qui. Aucune connaissance ou logiciel particulier n'est nécessaire.
Le mécanisme de protection du plugin est désactivé par défaut. Lorsqu'il est actif, seuls les utilisateurs autorisés ont accès aux scripts load-scripts.php et load-styles.php.
Pour activer la protection contre les attaques DoS CVE-2018-6389, accédez à l'onglet Renforcement , activez Bloquer l'accès non autorisé à load-scripts.php et load-styles.php et cliquez sur Enregistrer les modifications. Après avoir activé ce paramètre, un ensemble de règles de sécurité sera ajouté au fichier .htaccess et un cookie spécial, connu uniquement de votre serveur Web, sera défini pour chaque utilisateur autorisé. Les styles et les scripts utilisés pour le formulaire de connexion WordPress standard seront chargés sans concaténation. Pour arrêter la concaténation, le plugin définit la constante CONCATENATE_SCRIPTS pour tous les visiteurs non connectés.
En savoir plus sur CVE-2018-6389
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6389
- https://securityaffairs.co/wordpress/68709/hacking/cve-2018-6389-wordpress-dos-flaw.html
- https://thehackernews.com/2018/02/wordpress-dos-exploit.html
Hardening settings in the WordPress Dashboard
Saviez-vous que vous pouvez configurer ces paramètres sur un nombre illimité de sites Web à distance ? Activez un mode maître Cerber.Hub sur le site Web principal et un mode esclave sur vos autres sites Web pour gérer toutes les instances WP Cerber à partir d'un seul tableau de bord WordPress en basculant entre vos sites Web en un clic.
Configuration des exceptions pour le moteur anti-spam
Analyses récurrentes automatisées et rapports par e-mail pour WordPress
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi,
Is it still relevant for wordpress 4.9.6 version?
Why it should not be?