CVE-2018-6389 DoS 攻撃から WordPress を保護する方法
WP Cerber Security 6.2 は、最近発見された脆弱性 CVE-2018-6389 を悪用したサービス拒否 (DoS) 攻撃に対する保護機能を追加しました。
English version: How to protect WordPress against CVE-2018-6389 DoS attacks
これは重大な脆弱性ではなく、ハッカーが被害者の Web サイトに侵入できるものではありません。むしろ、WordPress で構築された Web サイトを誰でも簡単にダウンさせられる設計上の欠陥です。悪意のある人物はこれを利用してオンライン ストアをダウンさせることができます。攻撃は誰でもどのコンピューターからでも開始できます。特別な知識やソフトウェアは必要ありません。
プラグインの保護メカニズムはデフォルトで無効になっています。有効にすると、承認されたユーザーのみが load-scripts.php および load-styles.php スクリプトにアクセスできます。
CVE-2018-6389 DoS 攻撃に対する保護を有効にするには、 [強化]タブに移動し、 [load-scripts.php および load-styles.php への不正アクセスをブロックする]を有効にして、[変更を保存] をクリックします。この設定を有効にすると、一連のセキュリティ ルールが .htaccess ファイルに追加され、Web サーバーのみが認識できる特別な Cookie がすべての承認済みユーザーに設定されます。標準の WordPress ログイン フォームに使用されるスタイルとスクリプトは、連結されずに読み込まれます。連結を停止するために、プラグインはログインしていないすべての訪問者に対して CONCATENATE_SCRIPTS 定数を定義します。
CVE-2018-6389 の詳細を読む
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6389
- https://securityaffairs.co/wordpress/68709/hacking/cve-2018-6389-wordpress-dos-flaw.html
- https://thehackernews.com/2018/02/wordpress-dos-exploit.html
Hardening settings in the WordPress Dashboard
これらの設定を任意の数の Web サイトでリモートで構成できることをご存知ですか?メインの Web サイトでCerber.Hubマスター モードを有効にし、他の Web サイトでスレーブ モードを有効にすると、1 つの WordPress ダッシュボードからクリック 1 つで Web サイトを切り替えることで、すべての WP Cerber インスタンスを管理できます。
スパム対策エンジンの例外の設定
WordPress の自動定期スキャンとメールレポート
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi,
Is it still relevant for wordpress 4.9.6 version?
Why it should not be?