あなたのサイトは大丈夫?WordPressを悪用したDDOS攻撃

WordPress

 

WordPressのピンバック機能を悪用したDDoS攻撃。
WordPressの16万サイトが大規模攻撃の踏み台に、「Pingback」機能悪用

ピンバックとは

WordPress標準搭載の機能でWordPress同士限定になりますが、
別のブログが自分のブログにリンクを張ると、ピンバック通知が送信され
自分のブログに別のブログのリンク元などの情報が
コメント見たいに表示される機能。

ちなみに、
私の場合、スパム&セルフピンバックなどがあり
トラックバックとピンバックは切ってあります。

踏み台となったWordPress

今回はWordPressのPingback機能を悪用し、
攻撃者が複数のWordPressサイトに偽のピンバックを送信。
WordPressサイトは送信されたデータに従ってPingBackを送信し
複数のWordpressサイトから膨大なPingBackを送信された
攻撃対象サイトのサーバがダウンしました。

踏み台なったサイト

踏み台となったWordPressサイトは世界中にあるとのことですが
日本、.jpドメインのサイトもたくさんありました。

日本の踏み台となったサイトをまとめた記事があります。
DoSの踏み台にされているJPドメインのWordPressをまとめてみた
自分のサイトが踏み台となっていないか確認する方法もあります。

この記事の一覧を見ると企業のサイトが結構ありました。
大手のサイトなどもボチボチあります。

中にはSEOやホームページ制作を手がける会社のサイトもあり
セキュリティー対策の甘さを感じます。

企業ならピンバックをONにしているメリットを感じません。

踏み台にならない為の対策

踏み台にならない様にするにはPingback機能をOFFにします。
設定→ディスカッション設定の画面
ディスカッション設定でWordPressのトラックバック&ピンバック機能をOFFにする
他のブログからの通知(ピンバック・トラックバック)を受け付ける
のチェックを外して変更を保存すればOKです。

ピンバックはWordPressの標準の機能であり、
アップデートなどでは回避出来ません。

なのでピンバックとトラックバック機能を活用していないなら
切ってしまった方が良いと思います。

スポンサーリンク

関連する記事(一部広告)