WordPress sites massaal misbruikt voor DDOS aanvallen

Nog niet zo heel lang geleden kwam het nieuws naar buiten dat WordPress sites gebruikt worden voor DDOS aanvallen. De sites werden ongemerkt gebruikt door middel van de standaard pingback functie in WordPress.

De pinback functie, die standaard op elke WordPress site aan staat, maakt gebruik van het zogeheten XML-RPC bestand. Dit bestand kan verzoeken versturen naar andere servers voor bijvoorbeeld het opvragen van een pagina of een server informeren over veranderingen op de website. Het bestand wordt ook in plugins gebruikt, waaronder Jetpack, en om via een mobiele telefoon toegang te krijgen tot de website. Echter kan het ook worden misbruikt.

Wat was er precies gebeurd?
In het kort komt het erop neer dat het XML RPC bestand wordt gebruikt om andere blogs te informeren als je iets op je website hebt geplaats (met bijvoorbeeld een link naar een andere blog). Het is echter ook mogelijk om zo’n aanvraag naar het XML RPC bestand zelf te creëren met daarin een link naar welke website dan ook. Vervolgens zal de WordPress website dan verbinding proberen te maken met de opgegeven website.

Wanneer je dit automatiseert, en dus duizenden van dit soort aanvragen doet naar een website, zal de opgegeven website heel veel dataverzoeken krijgen; een DDOS aanval. Het gevaarlijke van deze aanval was dat er verschillende, legitieme, WordPress websites voor werden gebruikt en dat de aanvaller zelf hierdoor niet te achterhalen is. Ook is het op deze manier voor iedereen mogelijk om op een makkelijke manier een grootschalige DDOS aanval op te zetten.

Wat kan je er zelf tegen doen?
Gelukkig zijn er al een aantal hostingbedrijven die het gebruik van het XML-RPC bestand standaard uitschakelen. Het nadeel hiervan is dat sommige plugins niet meer gebruikt kunnen worden en dat het alsnog aangezet moet worden. In dat geval is het raadzaam om de Disable XML-RPC pingback pluign te installeren. De plugin zorgt ervoor dat het gebruik van het XML-RPC bestand gedeeltelijk uitschakelt; het zorgt er namelijk voor dat de plugins blijven werken, maar dat de site tegelijkertijd niet misbruikt kan worden voor DDOS aanvallen.

Disable XML-RPC pingback plugin
De plugin is hier te downloaden, of via je admin dashboard te vinden door te zoeken op XML-RPC pingback. Wanneer je de plugin eenmaal hebt geïnstalleerd, hoef je hem enkel te activeren. Verdere acties zijn niet nodig en je website is meteen beveiligd tegen verkeerd gebruik van het XML RPC bestand.

Michel Kraaijeveld is oprichter van WPsitemaken. Hij is ervan overtuigd dat het voor iedereen mogelijk moet zijn om een eigen website te maken, zonder lastige handleidingen door te hoeven nemen. Zelf is hij al 6 jaar actief met WordPress en probeert zijn kennis op een simpele manier over te brengen aan anderen.

Laat een reactie achter