Jak chronić WordPressa przed atakami DoS CVE-2018-6389
WP Cerber Security 6.2 zapewnia ochronę przed atakami typu „odmowa usługi” (DoS), które wykorzystują niedawno odkrytą lukę w zabezpieczeniach CVE-2018-6389
English version: How to protect WordPress against CVE-2018-6389 DoS attacks
Powinniśmy powiedzieć, że nie jest to krytyczna luka i nie pozwala hakerowi włamać się do witryny ofiary. To raczej wada projektowa, która pozwala każdemu łatwo zrujnować witrynę opartą na WordPressie. Złośliwcy mogą jej użyć, aby zniszczyć Twój sklep internetowy. Atak może zostać zainicjowany z dowolnego komputera przez dowolną osobę. Nie jest wymagana żadna specjalistyczna wiedza ani oprogramowanie.
Mechanizm ochrony wtyczki jest domyślnie wyłączony. Gdy jest aktywny, tylko autoryzowani użytkownicy mają dostęp do skryptów load-scripts.php i load-styles.php.
Aby włączyć ochronę przed atakami DoS CVE-2018-6389, przejdź do zakładki Hardening , włącz opcję Block improperly access to load-scripts.php and load-styles.php i kliknij Save Changes. Po włączeniu tego ustawienia zestaw reguł bezpieczeństwa zostanie dodany do pliku .htaccess, a dla każdego autoryzowanego użytkownika zostanie ustawiony specjalny plik cookie, znany tylko Twojemu serwerowi WWW. Style i skrypty używane w standardowym formularzu logowania WordPress zostaną załadowane bez łączenia. Aby zatrzymać łączenie, wtyczka definiuje stałą CONCATENATE_SCRIPTS dla wszystkich niezalogowanych użytkowników.
Przeczytaj więcej o CVE-2018-6389
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6389
- https://securityaffairs.co/wordpress/68709/hacking/cve-2018-6389-wordpress-dos-flaw.html
- https://thehackernews.com/2018/02/wordpress-dos-exploit.html
Czy wiesz, że możesz skonfigurować te ustawienia na dowolnej liczbie stron internetowych zdalnie? Włącz tryb główny Cerber.Hub na głównej stronie internetowej i tryb podrzędny na innych stronach internetowych, aby zarządzać wszystkimi wystąpieniami WP Cerber z jednego pulpitu WordPress, przełączając się między stronami internetowymi jednym kliknięciem.
Hi,
Is it still relevant for wordpress 4.9.6 version?
Why it should not be?