Как защитить WordPress от DoS-атак CVE-2018-6389
В WP Cerber Security 6.2 реализована защита от атак типа «отказ в обслуживании» (DoS), использующих недавно обнаруженную уязвимость CVE-2018-6389.
English version: How to protect WordPress against CVE-2018-6389 DoS attacks
Следует сказать, что это не критическая уязвимость и не позволяет хакеру проникнуть на сайт жертвы. Это скорее конструктивный недостаток, который позволяет любому легко поставить на колени веб-сайт, работающий на WordPress. Злоумышленники могут использовать это, чтобы вывести из строя ваш интернет-магазин. Атака может быть инициирована кем угодно с любого компьютера. Никаких специальных знаний или программного обеспечения не требуется.
Механизм защиты в плагине по умолчанию отключен. Когда он активен, только авторизованные пользователи имеют доступ к сценариям load-scripts.php и load-styles.php.
Чтобы включить защиту от DoS-атак CVE- 2018-6389 , перейдите на вкладку «Защита», установите флажок « Блокировать несанкционированный доступ к файлам load-scripts.php и load-styles.php» и нажмите «Сохранить изменения». После включения этой настройки в файл .htaccess будет добавлен набор правил безопасности и для каждого авторизованного пользователя будет установлен специальный, известный только вашему веб-серверу, файл cookie. Стили и скрипты, которые используются для стандартной формы входа в WordPress, будут загружены без конкатенации. Чтобы остановить конкатенацию, плагин определяет константу CONCATENATE_SCRIPTS для всех незарегистрированных посетителей.
Узнайте больше о CVE-2018-6389
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6389
- https://securityaffairs.co/wordpress/68709/hacking/cve-2018-6389-wordpress-dos-flaw.html
- https://thehackernews.com/2018/02/wordpress-dos-exploit.html
Знаете ли вы, что вы можете настроить эти параметры на любом количестве веб-сайтов удаленно? Включите главный режим Cerber.Hub на основном веб-сайте и подчиненный режим на других ваших веб-сайтах, чтобы управлять всеми экземплярами WP Cerber с одной панели управления WordPress, переключаясь между вашими веб-сайтами одним щелчком мыши.
Hi,
Is it still relevant for wordpress 4.9.6 version?
Why it should not be?