Hlavní navigace

Útok na WordPress zneužívá XML-RPC k hromadnému hádání hesel

Sdílet

Petr Krčmář 12. 10. 2015

Bezpečnostní odborníci ze společnosti Sucuri odhalili strmý nárůst útoků proti redakčnímu systému WordPress s použitím Brute Force Amplification. Při něm mohou být odeslány tisíce hesel při jediném pokusu o přihlášení. Zneužíván je přitom protokol XML-RPC, konkrétně funkce system.multicall, která umožňuje odeslat větší množství požadavků jediným dotazem.

Společnost upozorňuje na to, že vypnutí protokolu pravděpodobně rozbije funkcionalitu mnoha rozšíření, která jej při komunikaci využívají. Sucuri doporučuje blokovat požadavky system.multicall, což ovšem může stále ovlivnit funkčnost některých rozšíření.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 12. 10. 2015 16:41

    Debian4Ever (neregistrovaný) ---.kvarteto.net

    Protoze Drupal Security team je tym podobny Linux teamu, specialni skupina lidi, ktera, jakmile se dozvi, byt o teoreticke moznosti hacky nebo zneuziti, v kratke dobe jej patchne.
    Navic, vytvaret sablonu pro Drupal a wordpress, je jako nebe a dudy (kdo si to zkusil, ten vi ;)).

  • 12. 10. 2015 21:12

    marekp (neregistrovaný) 46.167.204.---

    Jenze na to Vam s*re bilej tesak, rozsirenost Drupal a Wordpressu je taky nebe a dudy a srovnavat s linux kernel maintainers je pokrytectvi nejhrubsiho zrna.

  • 13. 10. 2015 16:11

    Tomáš2 (neregistrovaný) 194.213.48.---

    aneb řečeno lamaři jsou všichni, jen jedni nepatchují dost rychle a druzí patchují a rozbíjejí. Výsledek je stejný, existuje mnoho webů s bezpečnostními chybami, které se jen tak nevyřeší.