Fast & Functional

Een kleine plug-in met grote voordelen

Publicatiedatum: maandag 31 oktober 2016
Thema: Beveiliging WordPress CMS

WordPress is software dat ongeveer 50% van alle websites op het internet faciliteert. Het CMS is eenvoudig te installeren, te personaliseren en uit te breiden. Allemaal factoren ten gunste van de populariteit van deze software.

Deze populariteit brengt grote risico's met zich mee. Dit is vergelijkbaar met de gevaren van Windows ten opzichte van Mac en Linux als besturingssysteem van computers. Voor Windows zijn veel meer virussen in omloop. Maar met de stijgende populariteit van Apple is ook hier het aantal stukjes schadelijke software toegenomen.

In het geval van WordPress zijn het niet alleen de handige plug-ins en mooie templates die onveilig zijn, maar ook het grootschalig misbruik van één van de basis functies van WordPress als blogging platform: XML RPC.

wordpress-ddos-hack-001

Wat is XML RPC?

XML RPC werd ontwikkeld als standaard functionaliteit en wordt door de ontwikkelaars nog steeds zo gezien. Het kan gebruikt worden voor diverse functies waaronder het posten van content naar een website vanuit externe programma’s of het linken naar interessante blog artikelen op externe sites. Ontzettend handig maar ook problematisch.

Onderzoek naar DDOS aanval op WordPress websites

De onderzoekers van Sucuri kwamen onlangs met een uitgebreid artikel over een simpele manier om de XML RPC functionaliteit te misbruiken. De tweede alinea van het artikel sloeg meteen de spijker op zijn kop:

'Any WordPress site with pingback enabled (which is on by default) can be used in DDOS attacks against other sites.'

Met andere woorden: iedere geïnstalleerde WordPress site zonder extra beveiliging, kan misbruikt worden voor DDOS aanvallen waarmee ook grote en beveiligde websites volledig lamgelegd worden.

Hoe voorkomen wij deze zwakte?

Ook het netwerk van ALOT Hosting en de op onze servers gehoste WordPress websites werden ongemerkt gebruikt voor het aanvallen van websites. Wij streven naar een zo veilig mogelijk internet en ondernemen maatregelen om dit soort aanvallen te beperken.

Om die reden verplichten wij beheerders van WordPress websites tot het installeren van een extra plug-in. Het betreft hier de plug-in Disable XML-RPC Pingback van ontwikkelaar Samuel Aguilera. Het enige dat deze plug-in doet is het uitschakelen van de PINGBACK methode van de XML RPC functionaliteit. Hierdoor beschermt het websites tegen het misbruik voor een DDOS aanval, maar laat het tegelijkertijd de eigenlijke functionaliteit van het posten door externe applicaties wél nog toe.

Samenvattend

Met deze plugin zult u geen verandering merken in de functionaliteit van uw website. Heeft u vragen over deze installatie of over andere manieren om uw WordPress website te beveiligen? Neem dan per ticket contact op met onze technische dienst, zij geven u graag meer tips.

Bekijk al het nieuws