Jak chronić WordPressa przed atakami DoS CVE-2018-6389
WP Cerber Security 6.2 zapewnia ochronę przed atakiem typu „odmowa usługi” (DoS), który wykorzystuje niedawno odkrytą lukę CVE-2018-6389
English version: How to protect WordPress against CVE-2018-6389 DoS attacks
Należy powiedzieć, że nie jest to luka krytyczna i nie pozwala hakerowi włamać się na stronę ofiary. Jest to raczej wada projektowa, która pozwala każdemu łatwo rzucić na kolana stronę internetową opartą na WordPressie. Źli aktorzy mogą to wykorzystać, aby zepsuć Twój sklep internetowy. Atak może zostać zainicjowany z dowolnego komputera przez każdego. Nie jest wymagana żadna specjalna wiedza ani oprogramowanie.
Mechanizm ochrony we wtyczce jest domyślnie wyłączony. Kiedy jest aktywny, dostęp do skryptów load-scripts.php i load-styles.php mają tylko upoważnieni użytkownicy.
Aby włączyć ochronę przed atakami CVE-2018-6389 DoS, przejdź do zakładki Hardening , włącz Blokuj nieautoryzowany dostęp do load-scripts.php i load-styles.php i kliknij Zapisz zmiany. Po włączeniu tego ustawienia zestaw reguł bezpieczeństwa zostanie dodany do pliku .htaccess, a dla każdego uprawnionego użytkownika zostanie ustawiony specjalny, znany tylko Twojemu serwerowi, plik cookie. Style i skrypty używane w standardowym formularzu logowania WordPress zostaną załadowane bez konkatenacji. Aby zatrzymać konkatenację, wtyczka definiuje stałą CONCATENATE_SCRIPTS dla wszystkich niezalogowanych gości.
Przeczytaj więcej o luce CVE-2018-6389
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6389
- https://securityaffairs.co/wordpress/68709/hacking/cve-2018-6389-wordpress-dos-flaw.html
- https://thehackernews.com/2018/02/wordpress-dos-exploit.html
Czy wiesz, że możesz zdalnie skonfigurować te ustawienia na dowolnej liczbie stron? Włącz tryb główny Cerber.Hub na głównej stronie internetowej i tryb podrzędny na innych stronach internetowych, aby zarządzać wszystkimi instancjami WP Cerber z jednego pulpitu nawigacyjnego WordPress, przełączając się między witrynami jednym kliknięciem.
Hi,
Is it still relevant for wordpress 4.9.6 version?
Why it should not be?