Jak chronić WordPress przeciwko CVE-2018-6389 atakami DoS

English version: How to protect WordPress against CVE-2018-6389 DoS attacks

Powinniśmy powiedzieć, że nie jest to krytyczna luka i nie pozwala hakerowi włamać się do witryny ofiary. To raczej wada projektowa, która pozwala każdemu łatwo umieścić stronę internetową opartą na WordPressie. Źli aktorzy mogą go użyć, aby obniżyć sklep internetowy. Atak może być zainicjowany z dowolnego komputera przez każdego. Nie jest potrzebna żadna specjalna wiedza ani oprogramowanie.

Mechanizm ochrony wtyczki jest domyślnie wyłączony. Gdy jest aktywny, tylko autoryzowani użytkownicy mają dostęp do skryptów load-scripts.php i load-styles.php.

Aby włączyć ochronę przed atakami CVE-2018-6389 DoS, przejdź do karty Utwardzanie , włącz Blokuj nieautoryzowany dostęp do load-scripts.php i load-styles.php i kliknij Zapisz zmiany. Po włączeniu tego ustawienia zestaw reguł bezpieczeństwa zostanie dodany do pliku .htaccess i specjalny, znany tylko serwerowi internetowemu, ciasteczko zostanie ustawione dla każdego autoryzowanego użytkownika. Style i skrypty używane do standardowego formularza logowania WordPress zostaną załadowane bez konkatenacji. Aby zatrzymać konkatenację, wtyczka definiuje CONCATENATE_SCRIPTS stałą dla wszystkich niezalogowanych użytkowników.

Przeczytaj więcej o CVE-2018-6389

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6389
• https://securityaffairs.co/wordpress/68709/hacking/cve-2018-6389-wordpress-dos-flaw.html
• https://thehackernews.com/2018/02/wordpress-dos-exploit.html

Hardening settings in the WordPress Dashboard