CVE-2018-6389 DoS攻撃からWordPressを保護する方法
WP Cerber Security 6.2は、最近発見された脆弱性CVE-2018-6389を悪用したサービス拒否(DoS)攻撃に対する保護機能を導入しました。
English version: How to protect WordPress against CVE-2018-6389 DoS attacks
これは重大な脆弱性ではなく、ハッカーが被害者のウェブサイトに侵入できるほどのものではありません。むしろ、WordPressで構築されたウェブサイトを誰でも簡単にダウンさせてしまう設計上の欠陥です。悪意のある人物は、これを悪用してオンラインストアをダウンさせる可能性があります。攻撃は誰でも、どのコンピュータからでも開始できます。特別な知識やソフトウェアは必要ありません。
プラグインの保護メカニズムはデフォルトで無効になっています。有効にすると、承認されたユーザーのみがload-scripts.phpおよびload-styles.phpスクリプトにアクセスできるようになります。
CVE-2018-6389 DoS攻撃に対する保護を有効にするには、 「強化」タブに移動し、 「load-scripts.php および load-styles.php への不正アクセスをブロックする」にチェックを入れ、「変更を保存」をクリックします。この設定を有効にすると、.htaccess ファイルに一連のセキュリティルールが追加され、承認されたすべてのユーザーに対して、Webサーバーのみが認識する特別なCookieが設定されます。WordPressの標準ログインフォームで使用されるスタイルとスクリプトは、連結されずに読み込まれます。この連結を阻止するために、プラグインはログインしていないすべての訪問者に対して CONCATENATE_SCRIPTS 定数を定義します。
CVE-2018-6389 の詳細
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6389
- https://securityaffairs.co/wordpress/68709/hacking/cve-2018-6389-wordpress-dos-flaw.html
- https://thehackernews.com/2018/02/wordpress-dos-exploit.html
Hardening settings in the WordPress Dashboard
これらの設定を任意の数のウェブサイトでリモートから構成できることをご存知ですか?メインウェブサイトでCerber.Hubのマスターモードを有効にし、他のウェブサイトでスレーブモードを有効にすると、1つのWordPressダッシュボードからウェブサイトをワンクリックで切り替えて、すべてのWP Cerberインスタンスを管理できます。
WordPressでカスタムログインURLを使用する必要がある理由
禁止ログインリストを使用してボットやロボットを阻止する方法
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi,
Is it still relevant for wordpress 4.9.6 version?
Why it should not be?