2018年2月5日,国外安全研究人员披露了一个关于Wordpress的拒绝服务(DoS)攻击的漏洞(CVE-2018-6389),WordPress 3.x-4.x各个版本均受该漏洞影响。恶意攻击者可以通过让WordPress在单个请求中加载多个Javascript文件来消耗服务器资源,进而引发拒绝服务。
WAF本身不受该漏洞影响。但如果您的网站业务使用WordPress,建议您配置相应的防护规则。
漏洞描述
该漏洞主要位于load-scripts.php文件处,load-scripts.php是WordPress CMS的内置脚本。load-scripts.php文件通过传递name到load参数来选择性地调用必需的Javascript文件,这些name参数间以”,”隔开。
例如,https://example.com/wp-admin/load-scripts.php?c=1&load[]=jquery-ui-core,editor&ver=4.9.1,这个请求中加载的Javascript文件是jquery-ui-core和editor。
由于在script-loader.php文件中定义的181个Javascript文件都可以被加载在单个请求中,恶意攻击者在无需授权登录的情况下可以发送大量请求,导致服务器负载增加,从而实现拒绝服务攻击的效果。
防护建议
建议您使用自定义ACL访问控制规则和自定义CC攻击防护规则,对您的WordPress网站业务进行防护。
- 通过自定义ACL访问控制规则,限制向load-scripts.php文件传递参数的数量。例如,配置以下规则限制对load-scripts.php文件传递的参数长度不大于50个字符。
- 通过自定义CC攻击防护规则,限制同一个IP对load-scripts.php文件的请求频率。例如,配置以下规则限制对同一个IP对load-scripts.php文件的请求频率不超过每5秒100次。
关于自定义ACL访问控制规则和自定义CC攻击防护规则的相关操作,请参见设置自定义防护策略。
更多信息
安全管家服务可以为您提供包括安全检测、安全加固、安全监控、安全应急等一系列专业的安全服务项目,帮助您更加及时、有效地应对漏洞及黑客攻击。更多信息,请参见安全管家服务。
在文档使用中是否遇到以下问题
更多建议
匿名提交