近日，Sucuri的安全研究人員發(fā)現(xiàn)，數(shù)萬(wàn)WordPress站點(diǎn)被利用于實(shí)行第7層（HTTP）DDos攻擊。共有26000個(gè)不同的WordPress站點(diǎn)持續(xù)向同一個(gè)網(wǎng)站以每秒10000到11000次的頻率發(fā)送HTTPS請(qǐng)求，最多時(shí)能達(dá)到20000次每秒。更嚴(yán)重是，如果Pingback功能默認(rèn)開(kāi)啟，全球任何一個(gè)WordPress站點(diǎn)都可能被滲透，成為DDos攻擊網(wǎng)絡(luò)的一個(gè)源頭。

HTTP Flood是針對(duì)Web服務(wù)在第七層協(xié)議發(fā)起的大規(guī)模流量攻擊，不僅可以直接導(dǎo)致被攻擊的Web前端響應(yīng)緩慢，還間接攻擊到后端的Java等業(yè)務(wù)層邏輯以及更后端的數(shù)據(jù)庫(kù)服務(wù)，增大它們的壓力，甚至對(duì)日志存儲(chǔ)服務(wù)器都帶來(lái)影響。

建議所有基于Wordpress的網(wǎng)站盡快禁用Pingback。雖然無(wú)法保證網(wǎng)站免于遭受攻擊，但會(huì)終止黑客利用您的網(wǎng)站來(lái)攻擊其它目標(biāo)。

最好的做法是，如果你確定不用pingbacks，就和xmlrpc一并關(guān)閉。如果需要使用，可以簡(jiǎn)單修改.htaccess文件，只允許白名單中的IP來(lái)存取文件。流行插件Jetpack也可用于流量監(jiān)控。

WordPress的pingback服務(wù)可被DDoS攻擊利用，這個(gè)漏洞早有披露，但至今仍有大量網(wǎng)站存在此問(wèn)題，原因在于網(wǎng)站的站長(zhǎng)通常不太注意是否成為僵尸網(wǎng)絡(luò)的肉雞。而由于這種DDoS攻擊中流量來(lái)自數(shù)千個(gè)不同IP，基于網(wǎng)絡(luò)的防火墻也無(wú)法識(shí)別和攔截，只能限制每個(gè)IP地址的訪問(wèn)頻率。

研究人員還發(fā)現(xiàn)，大多數(shù)實(shí)施攻擊的源網(wǎng)站托管在知名VPS/云服務(wù)提供商：亞馬遜AWS、Digital Ocean、Google Cloud、微軟Azure、HETZNER、OVH和Linode。