Description
Dans le module XML-RPC de n’importe quelle installation de Wordpress, la fonction Pingback est activée. Les pirates peuvent l’exploiter afin d’envoyer une demande à un site Wordpress vulnérable, puis d’utiliser ce dernier afin d’attaquer d’autres sites Web. En d’autres mots, votre installation de Wordpress pourrait servir à une attaque par déni de service distribué (DDOS) à votre insu.
Pour obtenir de plus amples renseignements au sujet de ce problème, veuillez consulter le billet suivant du blogue Sucuri (en anglais) :
Le correctif
Wordpress n’a publié aucun correctif pour ce problème, mais un de ces modules d’extension désactive la fonction de requête Pingback (pingback.ping)du module XML-RPC.
Remarque : Le module d’extension doit être installé pour chaque installation de Wordpress.
Module d’extension Remove XMLRPC Pingback Ping :http://wordpress.org/plugins/remove-xmlrpc-pingback-ping/
-
Voici la marche à suivre pour installer le module d’extension :
Ouvrez une session Wordpress à partir de votre tableau de bord d’administrateur. - Lorsque le Tableau de bord s’affiche, déplacez le pointeur de votre souris vers le menu de gauche, au-dessus de l’option Plugins, puis cliquez sur la commande de sous-menu Add New.
- Dans le champ de recherche, tapez « XMLRPC Pingback Ping », puis lancez la recherche.
- Sélectionnez le module d’extension voulu, puis cliquez sur Install Now.
- Confirmez le lancement de l’installation en cliquant sur OK.
- Vous devez ensuite activer le module d’extension. Pour ce faire, cliquez sur Activate Plugin lorsque l’installation est terminée.
- Une fois installé et activé, le module d’extension devrait s’afficher dans la section Plugins.
Documents de référence (en anglais) :
- http://wptavern.com/how-to-prevent-wordpress-from-participating-in-pingback-denial-of-service-attacks
- http://www.incapsula.com/blog/wordpress-security-alert-pingback-ddos.html
- http://en.wikipedia.org/wiki/Pingback
- http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-distributed-denial-of-service-attack.html
- http://codex.wordpress.org/Introduction_to_Blogging#Pingbacks
0 Commentaires