Как защитить WordPress от DoS-атак CVE-2018-6389

English version: How to protect WordPress against CVE-2018-6389 DoS attacks

Следует отметить, что это не критическая уязвимость и не позволяет хакеру взломать сайт жертвы. Это скорее недостаток в дизайне, позволяющий любому легко вывести из строя веб-сайт на базе WordPress. Злоумышленники могут использовать это для обрушения вашего интернет-магазина. Атака может быть инициирована с любого компьютера любым пользователем. Никаких специальных знаний или программного обеспечения не требуется.

Механизм защиты в плагине по умолчанию отключен. Когда он активен, доступ к скриптам load-scripts.php и load-styles.php имеют только авторизованные пользователи.

Для включения защиты от DoS-атак CVE-2018-6389 перейдите на вкладку «Усиление защиты» , включите параметр «Блокировать несанкционированный доступ к файлам load-scripts.php и load-styles.php» и нажмите «Сохранить изменения». После включения этой настройки в файл .htaccess будет добавлен набор правил безопасности, а для каждого авторизованного пользователя будет установлен специальный cookie, известный только вашему веб-серверу. Стили и скрипты, используемые для стандартной формы входа в WordPress, будут загружаться без конкатенации. Чтобы предотвратить конкатенацию, плагин определяет константу CONCATENATE_SCRIPTS для всех незарегистрированных посетителей.

Подробнее об уязвимости CVE-2018-6389

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6389
• https://securityaffairs.co/wordpress/68709/hacking/cve-2018-6389-wordpress-dos-flaw.html
• https://thehackernews.com/2018/02/wordpress-dos-exploit.html

Hardening settings in the WordPress Dashboard

Знаете ли вы, что можно удаленно настраивать эти параметры на любом количестве веб-сайтов? Включите режим мастера Cerber.Hub на главном веб-сайте и режим подчиненного узла на других ваших веб-сайтах, чтобы управлять всеми экземплярами WP Cerber из одной панели управления WordPress, переключаясь между веб-сайтами одним щелчком мыши.