บริษัทความปลอดภัย Sucuri รายงานว่าพบเว็บไซต์ WordPress ถูกนำไปใช้ในทางเสียหายมากถึง 162,000 เว็บถูกใช้เป็นฐานยิง Distributed Denial-of-Service (DDoS) ถล่มเว็บไซต์บางแห่งจนไม่สามารถใช้งานได้ จากการตรวจสอบพบว่าสาเหตุเกิดจากฟีเจอร์ XML-RPC ซึ่งเป็นช่องทางให้แอพภายนอกเรียกใช้งาน WordPress (เช่น การเขียนบล็อกด้วยแอพ, pingback, trackback) ที่ถูกเปิดมาเป็นค่าดีฟอลต์ของ WordPress ทุกเว็บไซต์อยู่แล้ว
ช่องโหว่ของ WordPress คือเปิดให้ใครก็ได้ที่รู้ URL สามารถรันคำสั่งผ่าน XML-RPC บนเว็บไซต์ของเราได้ ซึ่งในกรณีนี้แฮ็กเกอร์เรียก XML-RPC บนเว็บไซต์จำนวนมากให้ pingback ไปยังเว็บไซต์เป้าหมายแห่งเดียวกันจนเว็บล่มนั่นเอง
ปัญหานี้วงการ WordPress รับทราบกันมานานแล้ว แต่ก็ไม่ได้แก้ไขเพราะถือว่าเป็น "ฟีเจอร์" ตอนนี้คนที่อยากปิดการทำงานของ XML-RPC คงต้องใช้วิธีอื่น เช่น ลบหรือเปลี่ยนชื่อไฟล์ xmlrpc.php หรือสร้างปลั๊กอินเล็กๆ มาปิดการทำงานของมันไปก่อน รายละเอียดดูได้ตามลิงก์ที่มา
ที่มา : scmagazine
Leave a comment!
You must be logged in to post a comment.