发布于 2016-02-26 00:29:41 | 185 次阅读 | 评论: 0 | 来源: 网友投递

这里有新鲜出炉的精品教程，程序狗速度看过来！

WordPress开源博客平台

WordPress是一种使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统（CMS）来使用。

---

近日，Sucuri的安全研究人员发现，数万WordPress站点被利用于实施第7层DDos攻击。共有两万六千个不同的WordPress站点持续向同一个网站以每秒一万到一万一千次的频率发送HTTPS请求，最多时能达到两万次每秒。更严重是，如果Pingback功能默认开启，全球任何一个WordPress站点都可能被利用，成为DDos攻击网络的一个源头。

HTTP Flood是针对Web服务在第七层协议发起的大规模流量攻击，不仅可以直接导致被攻击的Web前端响应缓慢，还间接攻击到后端的Java等业务层逻辑以及更后端的数据库服务，增大它们的压力，甚至对日志存储服务器都带来影响。

建议所有基于Wordpress的网站尽快禁用Pingback。虽然无法保证网站免于遭受攻击，但会终止黑客利用您的网站来攻击其它目标。

最好的做法是，如果你确定不用pingbacks，就和xmlrpc一并关闭。如果需要使用，可以简单修改.htaccess文件，只允许白名单中的IP来存取文件。流行插件Jetpack也可用于流量监控。

WordPress的pingback服务可被DDoS攻击利用，这个漏洞早有披露，但至今仍有大量网站存在此问题，原因在于网站所有者很少刻意防止网站被僵尸网络捕获。而由于这种DDoS攻击中流量来自数千个不同IP，基于网络的防火墙也无法识别和拦截，只能限制每个IP地址的访问频率。

研究人员还发现，大多数实施攻击的源网站托管在知名VPS/云服务提供商：亚马逊的AWS、Digital Ocean、谷歌云、微软的Azure、HETZNER、OVH和Linode。

原文地址：Thousands of WordPress websites used as a platform to launch DDOS

中文稿源：freebuf