2018年2月5日,國外安全研究人員披露了一個關於Wordpress的拒絕服務(DoS)攻擊的漏洞(CVE-2018-6389),WordPress 3.x-4.x各個版本均受該漏洞影響。惡意攻擊者可以通過讓WordPress在單個請求中載入多個Javascript檔案來消耗伺服器資源,進而引發拒絕服務。

雲盾WAF本身不受該漏洞影響。但如果您的網站業務使用WordPress,建議您配置相應的防護規則。

漏洞描述

該漏洞主要位於load-scripts.php檔案處,load-scripts.php是WordPress CMS的內建指令碼。load-scripts.php檔案通過傳遞nameload參數來選擇性地調用必需的Javascript檔案,這些name參數間以”,”隔開。

例如,https://example.com/wp-admin/load-scripts.php?c=1&load[]=jquery-ui-core,editor&ver=4.9.1,這個請求中載入的Javascript檔案是jquery-ui-coreeditor

由於在script-loader.php檔案中定義的181個Javascript檔案都可以被載入在單個請求中,惡意攻擊者在無需授權登入的情況下可以發送大量請求,導致伺服器負載增加,從而實現拒絕服務的攻擊的效果。

防護建議

建議您使用精準存取控制和CC攻擊自訂規則功能對您的WordPress網站業務進行防護。

  • 通過精準存取控制功能,限制向load-scripts.php檔案傳遞參數的數量。例如,配置以下規則限制對load-scripts.php檔案傳遞的參數長度不大於50個字元。

  • 通過CC攻擊防護自訂功能,限制同一個IP對load-scripts.php檔案的請求頻率。例如,配置以下規則限制對同一個IP對load-scripts.php檔案的請求頻率不超過每5秒100次。

關於精準存取控制和CC攻擊防護自訂規則的功能介紹,請查看精準存取控制自訂CC防護