Alfonso Maruccia

DDoS, l'armata dei WordPress cattivi

Centinaia di migliaia di blog basati sulla popolare piattaforma usati per buttare giù i server altrui. Il problema è strutturale, ma le possibilità di mitigare il rischio non mancano

Roma - Sucuri Security ha individuato una rete per attacchi DDoS basata sull'uso/abuso di più di 162.000 blog WordPress, una rete malevola costruita grazie a un problema "strutturale" presente all'interno della popolare piattaforma di blogging.

La società è specializzata nel fornire strumenti di sicurezza esterni per siti web (Web Application Firewall, scansione anti-malware ecc), e proprio nel gestire un attacco indirizzato contro uno dei suoi clienti ha avuto modo di individuare la rete DDoS in oggetto.

L'origine del problema, spiega Sucuri, si trova all'interno del componente XML-RPC di WordPress(.org) usato per gestire pingback, trackback, accesso remoto (anche via gadget mobile) o da software (client) esterni e altro ancora. Basta inviare una richiesta di pingback formattata in un certo modo, dice la società di sicurezza, e il blog viene automaticamente "arruolato" per funzionare da vettore di amplificazione per un attacco DDoS su vasta scala.
Il modulo XML-RPC fa parte della dotazione standard di WordPress da sempre, ed è improbabile che venga eliminato anche se pone seri rischi alla sicurezza del Web. Gli admin/blogger che non fanno uso delle sue funzionalità possono cancellare fisicamente il file XML-RPC dal server o bloccare i pingback con apposito plugin filtro, spiega Sucuri, mentre per gli utenti preoccupati di essere caduti vittime involontarie dell'attacco DDoS è disponibile uno scanner per la verifica della situazione.

Alfonso Maruccia
Notizie collegate
  • AttualitàWordPress, dalla Cina con il DDoSPer la piattaforma di blogging si tratta del quarto attacco in due giorni. I responsabili avrebbero agito in terra asiatica, in particolare contro un sito già oscurato da Baidu. Il governo di Pechino nega ogni coinvolgimento
54 Commenti alla Notizia DDoS, l'armata dei WordPress cattivi
Ordina
  • Quando dico che wordpress e' una porcheria (non trovo altre parole per descriverlo) , un sacco di sedicenti web developer piccati (su questo forum) si offendono e difendono a spada tratta questo "magnifico" pezzo di software. In ambiente enterprise viene evitato come la peste, l'anno scorso ho lavorato 6 mesi a migrare una 30ina di siti di diverse dimensioni verso una soluzione basata su django. Un vero incubo.
    non+autenticato
  • - Scritto da: Ogekury
    > Quando dico che wordpress e' una porcheria (non
    > trovo altre parole per descriverlo) , un sacco di
    > sedicenti web developer piccati (su questo forum)
    > si offendono e difendono a spada tratta questo
    > "magnifico" pezzo di software. In ambiente
    > enterprise viene evitato come la peste, l'anno
    > scorso ho lavorato 6 mesi a migrare una 30ina di
    > siti di diverse dimensioni verso una soluzione
    > basata su django. Un vero
    > incubo.

    che alternative consigli?
    non+autenticato
  • imparare a programmare? usare con cognizione di causa un buon framework? imparare quel minimo di buon senso e di nozioni base per la sicurezza?

    gli "ueb developpe" cacciavitari sarebbero da fustigare sulla pubblica piazza...non mi interessa se i loro siti vengono bucano ma quando diventano botnet e veicolo di schifezze creano danni ad altri, tutto perchè il cacciavitaro che "sa fare siti" butta alla rinfusa quelle procherie di wp e joomla con mille plugin inutili scaricate chissà dove

    stramaledetti cacciavitari
    non+autenticato
  • E questo chi lo scrive un programmatore oppure un finto sistemista che non fa un caXXXXo tutto il giorno e dice agli altri di impararea a programmare.
    Un sistemista/programmatore che sa come funziona l'informatica in Italia.
    non+autenticato
  • a me sembra che non sai prorpio un bel niente
    non+autenticato
  • - Scritto da: niuno
    > imparare a programmare? usare con cognizione di

    so programmare in C, C++, lisp, scheme, python, clojure e assembly dei PIC. Ma questo non risponde alla mia domanda: che alternativa suggerisci?
    non+autenticato
  • python? allora django
    non+autenticato
  • - Scritto da: niuno
    > python? allora django

    si bonanotte
    non+autenticato
  • Bonanotte per quale motivo? Una soluzione anche rapida (ma fatta come si deve) con django risponde al 90% delle richieste degli utenti che utilizzano wordpress che, se non sono mascohisti, di solito sono siti di piccole medie dimensioni. La migrazione a cui ho lavorato l'anno scorso, in una delle piu' grandi aziende di publishing del regno unito, metteva in conto nel tasking la realizzazione del cms che sarebbe servito a rimpiazzare le funzionalita' di wordpress. Tutto TDD & QA, con due team (uno back e uno front) e' durato meno di un mese e mezzo ( che.

    Poi se vuoi una soluzione commerciale tipo wordpress basata su php ti consiglio Silverstripe. Pecca un po di documentazione, ma una volta che entri nella mentalita' del framework (mvc) che c'e' sotto va che e' una meraviglia.
    non+autenticato
  • - Scritto da: Ogekury
    > Bonanotte per quale motivo? Una soluzione anche

    perché django è un framework e wordpress è un applicazione già pronta.
    Pere con mele. Il dito la luna.

    Buonanotte.
    non+autenticato
  • - Scritto da: illusion
    > - Scritto da: Ogekury
    > > Bonanotte per quale motivo? Una soluzione
    > anche
    >
    > perché django è un framework e wordpress è un
    > applicazione già
    > pronta.
    > Pere con mele. Il dito la luna.
    >
    > Buonanotte.
    Mi dispiace ma la notte c'e' l'hai tu in testa. Primo perche' come ho spiegato Django e' pensato esplicitamente per creare cms rapidamente (e in generale calza bene nelle soluzioni RAD e vieni usato spesso negli hackday), secondo perche' se ti prendi la briga di leggere, ti ho suggerito una soluzione "commericale" chiamata Silverstripe, che e' un cms con un vero framework mvc ed un ORM come si deve. Se poi vuoi presentare velocemente un sito ad un cliente, usa tutti i pulg-in bloatware che vuoi, ma se poi ti mettono a pecora il sito oppure per implementare qualcosa sul codice dei suddetti ci metti la vita fai pure.
    non+autenticato