由香港生產力促進局營運的香港電腦保安事故協調中心 (HKCERT) 發現有攻擊者利用多個 WordPress 架設的網站發動分散式阻斷服務 (DDoS) 攻擊。

最近，中心收到 DDoS 攻擊的報告，發現有攻擊者利用 WordPress 架設網站的 Pingback 功能發動網絡攻擊。中心建議網站管理員檢查 WordPress 的相關設定及網絡流量，避免網站被濫用成為攻擊工具。

Pingback功能遭到利用

WordPress 架設的網站都預設啟用 Pingback 功能。當有內容連結或參考 WordPress 網站時，網站會自動發出 Pingback 通知，告知網站內容被引用。Pingback 是一個 XML-RPC 請求。攻擊者先傳送一個特製的請求到 WordPress 架設的網站，利用其 Pingback 功能發送通知到目標網站。攻擊者通常持有一份很長有開啟pingback功能的WordPress網站的名單，這些WordPress網站的集體反應引起了分佈式的HTTP洪水攻擊，向目標網站發送每秒數以百計的請求。

圖1) 利用Pingback的攻擊方法

處理方法

• 為免參與Pingback網絡攻擊，HKCERT建議網站管理員在WordPress架設網站關閉Pingback功能。
• 網站管理員可以下載以下WordPress插件來關閉在XML-RPC中的Pingback功能。
  Disable XML-RPC Pingback Plug-in
  https://wordpress.org/plugins/disable-xml-rpc-pingback/
• 有關WordPress插件的安裝方法，請參考 http://codex.wordpress.org/Managing_Plugins

參考來源：

• http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-distributed-denial-of-service-attack.html