La spécialiste de la sécurité Sucuri, appelée à l’aide par un site populaire en panne pendant plusieurs heures, s’est aperçue qu’un attaquant utilisait 162 000 sites WordPress légitimes pour lancer des attaques par déni de service à grande échelle (DDOS).
WordPress est la plate-forme de blogue la plus utilisée dans le monde.
Ce type d’attaque a pour objet d’empêcher les utilisateurs légitimes d’un service (comme le web) de l’utiliser, en inondant le réseau de requêtes afin d’empêcher son fonctionnement.
D’après Daniel Cid, bien plus de sites WordPress auraient été mis à contribution si Sucuri n’avait pas bloqué l’attaque sur les pare-feu.
Par défaut, WordPress utilise le standard XML-RPC pour envoyer des signaux – appelés pingback en anglais – à la base des rétroliens. Un rétrolien (anglais : trackback) est un système de liens inter-blogues semi-automatisé. Il permet aux auteurs de relier des billets de blogues différents et parlant du même sujet, ou se faisant référence.
L’attaquant a utilisé cette fonctionnalité pour inonder les serveurs ciblés de trafic pingbacks.
L’une des possibilités de lutte contre cette exploitation illégitime est de désactiver les pingbacks sur son serveur WordPress, en créant un plugin avec le filtre suivant :
add_filter( ‘xmlrpc_methods’, function( $methods ) {
unset( $methods[‘pingback.ping’] );
return $methods;
} );
L’inconvénient, c’est que cela empêche la création de tout nouveau rétrolien. Une alternative est d’utiliser un service de pare-feu par serveur mandataire, un service payant.
Sucuri met à disposition un outil pour les administrateurs pour vérifier si leur site est mis à contribution dans des attaques par déni de service.