Hlavní navigace

Útok na WordPress zneužívá XML-RPC k hromadnému hádání hesel

12. 10. 2015

Sdílet

Bezpečnostní odborníci ze společnosti Sucuri odhalili strmý nárůst útoků proti redakčnímu systému WordPress s použitím Brute Force Amplification. Při něm mohou být odeslány tisíce hesel při jediném pokusu o přihlášení. Zneužíván je přitom protokol XML-RPC, konkrétně funkce system.multicall, která umožňuje odeslat větší množství požadavků jediným dotazem.

Společnost upozorňuje na to, že vypnutí protokolu pravděpodobně rozbije funkcionalitu mnoha rozšíření, která jej při komunikaci využívají. Sucuri doporučuje blokovat požadavky system.multicall, což ovšem může stále ovlivnit funkčnost některých rozšíření.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 12. 10. 2015 16:41

    Debian4Ever (neregistrovaný)

    Protoze Drupal Security team je tym podobny Linux teamu, specialni skupina lidi, ktera, jakmile se dozvi, byt o teoreticke moznosti hacky nebo zneuziti, v kratke dobe jej patchne.
    Navic, vytvaret sablonu pro Drupal a wordpress, je jako nebe a dudy (kdo si to zkusil, ten vi ;)).

  • 12. 10. 2015 21:12

    marekp (neregistrovaný)

    Jenze na to Vam s*re bilej tesak, rozsirenost Drupal a Wordpressu je taky nebe a dudy a srovnavat s linux kernel maintainers je pokrytectvi nejhrubsiho zrna.

  • 13. 10. 2015 16:11

    Tomáš2 (neregistrovaný)

    aneb řečeno lamaři jsou všichni, jen jedni nepatchují dost rychle a druzí patchují a rozbíjejí. Výsledek je stejný, existuje mnoho webů s bezpečnostními chybami, které se jen tak nevyřeší.

Byl pro vás článek přínosný?

Autor zprávičky

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.