По данным компании Sucuri, уже около 162,000 сайтов на WordPress подверглись атаке из-за бага, с помощью которого хакеры могут организовывать крупномасштабные DDoS-атаки. Этот баг позволяет вынудить CMS начать отправлять сотни пакетов в секунду по заданному адресу, что приводит к блокированию доступа к ресурсу.
Атака опирается на проблему в XML-RPC (XML remote procedure call) в WordPress. XML-RPC используется для служебного, сервисного или мобильного доступа к платформе. В Sucuri говорят, что сама по себе архитектура XML-RPC содержит ряд фундаментальных проблем и с 2007 года здесь уже не единожды обрнаруживались проблемы подобного рода. Дэниель Сид, технический директор Sucuri, говорит, что по умолчанию XML-RPC используется в современных версиях WordPress и этот же инструмент позволяет организовать DDoS-атаку.
Сид говорит, что большая часть WordPress-сайтов использует систему кеширования в работе — то есть сервер не генерирует каждый раз с нуля веб-страницы для каждого клиента, а предлагает им кеш. Таким образом, XML-RPC вызывается не всегда, а лишь периодически, что несколько снижает градус опасности, но не ликвидирует его как таковой.
Источник: cybersecurity.ru
