[資安] WordPress 關閉 Pingbacks 功能,避免偽造來源攻擊

最近收到教育部的資安通報,說系上的 WordPress 正在對外攻擊,一開始我也是摸不著頭緒,直到今天在計中上班的時候,被告知是 Pingbacks 攻擊QQ。(聽說輔大DDOS就是用這個手法)

其實那時候我就有發現這個問題了,在 httpd 的 log 上看到一堆 xmlrpc.php 的要求,後來就直接用其他方法把他停用掉了(然後就沒事了),這裡有比較簡單的方法預防這類的攻擊:

停用 WordPress Pingbacks 功能

進入 WordPress 後台,到 「設定 > 討論」的區塊,可以看到「討論設定」。

 

將「試著去通知文章中鏈結到的任何網誌」、「允許其他網誌傳送引用通告至新文章」取消句選,這樣就差不多了。

 

安裝 Disable XML-RPC Pingback 外掛

為了更加安全起見,可以到外掛頁面安裝 Disable XML-RPC Pingback ,台大資安中心也有相關的文章,裝完啟用就大功告成了。至少我在封鎖 xmlrpc.php 後還沒有收到相關的資安通報,應該算有用處。

關於 富源

一名台東大學資訊工程學系的學生,這個網站用來紀錄一些不常用,但很重要、會忘記的事情。我的興趣是寫一些實用向的程式,例如 Python 爬蟲之類的東西…
歡迎各位交流!

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *