Jak chronić WordPressa przed atakami DoS CVE-2018-6389

English version: How to protect WordPress against CVE-2018-6389 DoS attacks

Należy powiedzieć, że nie jest to luka krytyczna i nie pozwala hakerowi włamać się na stronę ofiary. Jest to raczej wada projektowa, która pozwala każdemu łatwo rzucić na kolana stronę internetową opartą na WordPressie. Źli aktorzy mogą to wykorzystać, aby zepsuć Twój sklep internetowy. Atak może zostać zainicjowany z dowolnego komputera przez każdego. Nie jest wymagana żadna specjalna wiedza ani oprogramowanie.

Mechanizm ochrony we wtyczce jest domyślnie wyłączony. Kiedy jest aktywny, dostęp do skryptów load-scripts.php i load-styles.php mają tylko upoważnieni użytkownicy.

Aby włączyć ochronę przed atakami CVE-2018-6389 DoS, przejdź do zakładki Hardening , włącz Blokuj nieautoryzowany dostęp do load-scripts.php i load-styles.php i kliknij Zapisz zmiany. Po włączeniu tego ustawienia zestaw reguł bezpieczeństwa zostanie dodany do pliku .htaccess, a dla każdego uprawnionego użytkownika zostanie ustawiony specjalny, znany tylko Twojemu serwerowi, plik cookie. Style i skrypty używane w standardowym formularzu logowania WordPress zostaną załadowane bez konkatenacji. Aby zatrzymać konkatenację, wtyczka definiuje stałą CONCATENATE_SCRIPTS dla wszystkich niezalogowanych gości.

Przeczytaj więcej o luce CVE-2018-6389

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6389
• https://securityaffairs.co/wordpress/68709/hacking/cve-2018-6389-wordpress-dos-flaw.html
• https://thehackernews.com/2018/02/wordpress-dos-exploit.html

Hardening settings in the WordPress Dashboard

Czy wiesz, że możesz zdalnie skonfigurować te ustawienia na dowolnej liczbie stron? Włącz tryb główny Cerber.Hub na głównej stronie internetowej i tryb podrzędny na innych stronach internetowych, aby zarządzać wszystkimi instancjami WP Cerber z jednego pulpitu nawigacyjnego WordPress, przełączając się między witrynami jednym kliknięciem.