[ArhStrAngeR]

Любой WordPress сайт с включенным Pingback (который, между прочим, включен по умолчанию), может использоваться в DDOS-атаке на другие сайты.

Проверить включен Pingback или нет можно по этой ссылки-сервису: http://labs.sucuri.net/?is-my-wordpress-ddosing

Пруф - Более 162.000 сайтов на WordPress использовались для масштабной DDOS-атаки

[CuxpecT]

не совсем понял как функцию эту отключить не отключая весь плагин? подскажите люди добрые

[Гендальф Серый]

Код:

add_filter( 'xmlrpc_methods', function( $methods ) {
   unset( $methods['pingback.ping'] );
   return $methods;
} );

Это из шаблона вырезай

[ArhStrAngeR]

CuxpecT, нужно снять галку

вот тут

[свернуть]

Это параметры - настройки обсуждения.
Или по ссылке: http://site.ru/wp-admin/options-discussion.php

[brainix]

Кто-нибудь знает как с помощью рнр или htaccess уберечь себя от подобного ддосса?

Все владельцы сайтов на вордпресс наврядли узнают о новости и отключат уязвимость, так что ботнет останется приличным.

Сам сделал из того что было раньше из защиты по юзерагенту такое:

Код:

RewriteCond %{HTTP_USER_AGENT} ^.*WordPress.*$ [OR]

но есть сомнения в правильности кода.

[oleg_ug]

Проверил сервисом, все сайты получили:
Good: Your Website .... was not used for DDOS.

[creativepro]

Проверил сервисом, все сайты получили:
Good: Your Website .... was not used for DDOS.

у меня тоже

[ArhStrAngeR]

brainix, фактически - по факту только. Если он уже начался, то включаешь логирование, смотришь чем они все похожи. Потом пишешь php скрипт, который запускается до загрузки сайта и проверяешь наличие этого общего условия. Если оно есть - то или die(); или редирект, если нет - то пускаешь.
Я писал подобное условие для клиента, которому таким образом хотели накрутить отказы, ничего сложного - десятка 3 строк, вот и все, главное найти верные условия.