Een kleine plug-in met grote gevolgen

WordPress is in de afgelopen jaren uitgegroeid tot een stukje software wat ongeveer de helft van alle websites op het internet mogelijk maakt. Het CMS is gemakkelijk te installeren, te personaliseren en uit te breiden, wat allemaal factoren zijn welke de populariteit alleen maar vergroten.

WordPress is in de afgelopen jaren uitgegroeid tot een stukje software wat ongeveer de helft van alle websites op het internet mogelijk maakt. Het CMS is gemakkelijk te installeren, te personaliseren en uit te breiden, wat allemaal factoren zijn welke de populariteit alleen maar vergroten.

Helaas brengt dergelijke populariteit ook een risico met zich mee. Hetzelfde doet zich voor met bijvoorbeeld Windows ten opzichte van Mac en Linux als besturingssysteem van computers. Voor Windows zijn er veel meer virussen in omloop, voor Mac en Linux waren er tot voor kort eigenlijk geen enkele te bespeuren. Verschillende onderzoekers hebben in het afgelopen jaar echter een grote toename in schadelijke software voor Apple-producten gemerkt, juist omdat deze in populariteit groeien.

Voor WordPress uit dit zich niet alleen in handige plug-ins en mooie templates welke net niet helemaal veilig zijn, maar ook in grootschalig misbruik van één van de basis functionaliteiten van WordPress als blogging platform: XML RPC.

Dit gewraakte onderdeel van WordPress werd ontwikkeld als een functionaliteit en wordt door de ontwikkelaars nog steeds zo gezien. Het kan gebruikt worden voor een groot aantal dingen, zoals bijvoorbeeld het posten vanuit externe programma’s of het linken naar andere interessante blog artikelen op externe sites. Ontzettend handig natuurlijk, alleen brengt het wel wat problemen met zich mee.

Onderzoek naar aanval

De onderzoekers van Sucuri kwamen recentelijk met een uitgebreid  artikel over een simpele manier om de XML RPC functionaliteit te misbruiken. De tweede alinea van het artikel sloeg meteen de spijker op zijn kop:

“Any WordPress site with pingback enabled (which is on by default) can be used in DDOS attacks against other sites.”

Met andere woorden: iedere standaard geïnstalleerde WordPress site zonder extra beveiliging, kan misbruikt worden voor DDOS aanvallen waarmee zelfs grote en beveiligde websites volledig lamgelegd kunnen worden.

Wat doen we er aan?

Ook het netwerk van Flexwebhosting en de op onze servers gehoste WordPress websites werden ongemerkt gebruikt voor het aanvallen van andere websites. Omdat wij als webhosting provider natuurlijk streven naar een zo veilig mogelijk internet, ondernemen we verschillende acties om dit soort aanvallen niet langer mogelijk te maken.

Om die reden wordt er bij alle WordPress websites op ons shared hosting platform een extra plug-in geïnstalleerd en geactiveerd. Het betreft hier de plug-in Disable XML-RPC Pingback van ontwikkelaar Samuel Aguilera. Het enige wat deze plug-in doet is het uitschakelen van de PINGBACK methode van de XML RPC functionaliteit. Hierdoor beschermt het de websites tegen het misbruik voor een DDOS aanval, maar laat het tegelijkertijd de eigenlijke functionaliteit van het posten door externe applicaties wél nog toe.

Conclusie

Door onze installatie zou u, als WordPress gebruiker, geen verandering moeten merken in uw website. Wel merkt u dat er een extra plug-in actief is in uw dashboard. Deze kunt u zonder problemen actief laten en beschermt uw website zonder verdere overhead voor ongewenst en ongemerkt misbruik.

Heeft u vragen over deze installatie of over andere manieren om uw WordPress website te beveiligen? Neem dan per ticket contact op met onze technische dienst, zij geven u graag nog wat meer tips.