Как защитить WordPress от DoS-атак CVE-2018-6389
В WP Cerber Security 6.2 реализована защита от атаки типа «отказ в обслуживании» (DoS), которая использует недавно обнаруженную уязвимость CVE-2018-6389.
English version: How to protect WordPress against CVE-2018-6389 DoS attacks
Следует отметить, что это не критическая уязвимость, и она не позволяет хакеру взломать сайт жертвы. Это скорее недостаток дизайна, который позволяет любому легко поставить сайт на WordPress на колени. Злоумышленники могут использовать его, чтобы вывести из строя ваш интернет-магазин. Атака может быть инициирована с любого компьютера кем угодно. Никаких специальных знаний или программного обеспечения не требуется.
Механизм защиты в плагине по умолчанию отключен. Когда он активен, доступ к скриптам load-scripts.php и load-styles.php имеют только авторизованные пользователи.
Чтобы включить защиту от DoS-атак CVE-2018-6389, перейдите на вкладку Hardening , включите Block unauthorized access to load-scripts.php and load-styles.php и нажмите Save Changes. После включения этого параметра набор правил безопасности будет добавлен в файл .htaccess, а для каждого авторизованного пользователя будет установлен специальный, известный только вашему веб-серверу, cookie. Стили и скрипты, которые используются для стандартной формы входа WordPress, будут загружены без конкатенации. Чтобы остановить конкатенацию, плагин определяет константу CONCATENATE_SCRIPTS для всех неавторизованных посетителей.
Узнайте больше о CVE-2018-6389
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6389
- https://securityaffairs.co/wordpress/68709/hacking/cve-2018-6389-wordpress-dos-flaw.html
- https://thehackernews.com/2018/02/wordpress-dos-exploit.html
Знаете ли вы, что вы можете настроить эти параметры на любом количестве веб-сайтов удаленно? Включите режим мастера Cerber.Hub на главном веб-сайте и режим подчиненного на других ваших веб-сайтах, чтобы управлять всеми экземплярами WP Cerber с одной панели управления WordPress, переключаясь между вашими веб-сайтами в один клик.
Hi,
Is it still relevant for wordpress 4.9.6 version?
Why it should not be?