Jak chronić WordPressa przed atakami DoS CVE-2018-6389

English version: How to protect WordPress against CVE-2018-6389 DoS attacks

Należy zaznaczyć, że nie jest to luka krytyczna i nie pozwala hakerowi włamać się na stronę ofiary. To raczej wada projektowa, która pozwala każdemu łatwo zaatakować stronę opartą na WordPressie. Cyberprzestępcy mogą ją wykorzystać do zablokowania Twojego sklepu internetowego. Atak może zostać zainicjowany z dowolnego komputera przez dowolną osobę. Nie jest wymagana żadna specjalistyczna wiedza ani oprogramowanie.

Mechanizm ochrony we wtyczce jest domyślnie wyłączony. Gdy jest aktywny, tylko autoryzowani użytkownicy mają dostęp do skryptów load-scripts.php i load-styles.php.

Aby włączyć ochronę przed atakami DoS z użyciem kodu CVE-2018-6389, przejdź do zakładki Wzmocnienie , włącz opcję Blokuj nieautoryzowany dostęp do plików load-scripts.php i load-styles.php , a następnie kliknij przycisk Zapisz zmiany. Po włączeniu tego ustawienia do pliku .htaccess zostanie dodany zestaw reguł bezpieczeństwa, a dla każdego autoryzowanego użytkownika zostanie ustawiony specjalny plik cookie, znany tylko Twojemu serwerowi WWW. Style i skrypty używane w standardowym formularzu logowania WordPress zostaną załadowane bez konkatenacji. Aby zatrzymać konkatenację, wtyczka definiuje stałą CONCATENATE_SCRIPTS dla wszystkich niezalogowanych użytkowników.

Dowiedz się więcej o CVE-2018-6389

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6389
• https://securityaffairs.co/wordpress/68709/hacking/cve-2018-6389-wordpress-dos-flaw.html
• https://thehackernews.com/2018/02/wordpress-dos-exploit.html

Hardening settings in the WordPress Dashboard

Czy wiesz, że możesz zdalnie skonfigurować te ustawienia na dowolnej liczbie stron internetowych? Włącz tryb nadrzędny Cerber.Hub na stronie głównej i tryb podrzędny na pozostałych stronach, aby zarządzać wszystkimi instancjami WP Cerber z jednego pulpitu WordPress, przełączając się między stronami jednym kliknięciem.