Kako sprečiti DDoS napade preko pingback-ova u WordPress-u

Već neko vreme je sistem pingback-ova, koje WordPress ima od svog nastanka, jedan od najčešćih kanala za napade. Naime, XML-RPC pingback sistem WordPress koristi za komunikaciju sa eksternim aplikacijama, drugim blogovima i slično. Velika količina potpuno legitimne komunikacije se obavlja na ovaj način, pa tako recimo i Jetpack koristi ovaj protokol za komunikaciju. Ipak, statistike kažu da oko 13% svih DDoS napada (distributed denial of service) potiču upravo od pingback napada. Od verzije 3.9 na ovamo, WordPress je uveo logovanje dodatnih parametara, pa je sada moguće videti odakle je upit potekao, a ne samo sa kog je servera stigao.

Ipak, kako je cilj takvih napada da se server napadne na aplikativnom nivou i da se iscrpe svi dostupni resursi i na taj nacin obori sajt. Svaki upit server procesira – što je kompleksniji to mu je više resursa i vremena potrebno. Napadači biraju baš ovakav pristup jer je u pitanju poznata i dokumentovana funkcija, koju ako korisnik potpuno ugasi, gubi mogućnost komunikacije sa raznim spoljnim aplikacijama (na primer, WordPress mobilna aplikacija koristi ovakav pristup).

Najjednostavniji način da ovo rešite je instalacija Disable XML-RPC Pingback plugina. Na taj način, ugasiće se samo pingback funkcija koja nema preteranu svrhu, a sve ostale funkcije koje ima XML-RPC ostaju netaknute. Na taj način sprečićete DDoS napade kroz ovaj kanal.

Alternativno, ukoliko želite, to možete učiniti i ručno, tako što ćete u functions.php vaše teme dodati:

// disable pingbacks

add_filter( 'xmlrpc_methods', function( $methods ) {

unset( $methods['pingback.ping'] );

return $methods;

} );

// remove x-pingback HTTP header

add_filter('wp_headers', function($headers) {

    unset($headers['X-Pingback']);

    return $headers;

});