Seit ein paar Tagen macht eine Meldung die Runde, dass WordPress-Blogs weltweit unter Beschuss geraten sind. Und zwar mit einer standardmäßig eingebauten Funktion einer jeden WordPress-Grundinstallation, nämlich mit dem Pingback. Das ist perfide und brillant zugleich. Und es zeigt mal wieder, dass WordPress immernoch verbesserungswürdig ist.
Wie die Sicherheitsfirma Sucuri bereits am 10. März mitteilte, gerieten mehr als 162000 WordPress Blogs weltweit unter massiven Beschuss in Form von Denial-of-Service-Attacken, indem die Funktion Pingback schamlos ausgenutzt wurde. Der Anbieter bietet u.a. einen Gratis-Scanner an, der den eigenen Blog untersuchen soll, ob der auch Ziel des Angriffs wurde.
Ein Pingback ist eine Standard-Funktion von WordPress. Schreibe ich einen Artikel und zitiere aus Ihrem WordPress-Artikel, dann gebe ich natürlich den Link zur Quelle mit. Und damit informiere ich Ihren Blog, dass ich ihn zitiert habe. Sie müssen das dann ggf. noch freischalten, und schon erscheint ein Link zu meinem Artikel bei Ihnen. Das ist Standard, das gehört in meinen Augen zum guten Ton. Und genau das wird missbraucht.
Heise hat sich sogar zu dem Vorfall geäußert. Es werden sozusagen falsche Pingbacks losgeschickt. Der Angreifer nutzt einen legitimen Blog und schickt an andere Blogs zufällig generierte URLs. WordPress prüft bei jeder Anfrage genau die Zuordnung. Und damit zwingt man WordPress dann in die Knie. Denn es wird jedes Mal die Datenbank durchsucht. Und ab einer bestimmten Anzahl solcher Anfragen reagiert dann eben WordPress nicht mehr.
Jetzt kann man natürlich die Pingbacks abschalten. Das geht ganz einfach, indem man den dazu gehörenden Haken einfach mal entfernt. Nach dem Speichern ist das schon mal aktiv.
Warum sollte man denn auch Pingbacks erlauben? In Deutschland herrscht unter den Bloggern eh Linkgeiz, da kann ich den Kram eigentlich auch abschalten, oder? Es gibt auch noch eine andere Alternative: Man könnte in der zentralen Konfigurationsdatei, die die Zugriffe regelt, die .htaccess, herumschreiben. Das hat der Chefblogger in seinem Artikel beschrieben.
Aber wer weiß, vielleicht wartet man auch einfach mal ab, wie es auch beim Chefblogger steht. Bei mir werden Pingbacks ja nicht automatisch freigeschaltet. Außerdem nutze ich augenscheinlich gut funktionierende Sicherheitsmechanismen. Vielleicht habe ich ja relativ viel Glück damit und bin nicht betroffen. Einfach so Pingbacks abschalten, wie es bei Secure One steht, werde ich erst einmal nicht. Denn wie gesagt: Pingbacks gehören zum guten Ton beim Bloggen.
Danke für deine Verlinkung – hab dein Ping erhalten :)
Nun ich selbst habe keine Massnahmen ergriffen, ich betreue auch über ein Dutzend Blogs im DACH Raum und bisher konnte ich keine erhöhte Ping-Aktivität feststellen. Vielleicht habe ich bisher Glück gehabt oder der Angriff ist eher auf den englischsprachigen Raum ausgerichtet. Lassen wir uns überraschen und ergreifen erst dann Massnahmen wens nötig ist :)
So ist es. Ich halte nichts (mehr) von überstürzten Maßnahmen. Man erreicht damit vielleicht nur Fehlfunktionen.
Hallo Hennig,
ich weiss nicht ob das Thema mit den Angriffen noch immer aktuell ist, doch ich würde mich über einen Link sehr freuen. Beweise mal dass du kein typischer linkgeiziger Deutscher bist :D sondern ein Herz für so nette Anfragen hast :) cooler und offener Artikel btw.
Hallo Selma,
wenn es etwas zum Thema beizutragen gibt, mache ich das gern mit dem Link. Doch auf diese Art und Weise? Nimm es mir nicht übel, dass ich den Link zu der leeren Seite, auf der nichts weiter als eine Newsletter-Anmeldung vorhanden ist, entfernt habe.
Linkgeiz kann mir niemand vorwerfen, wenn man sich in meinem Blog umschaut. Das war leider keine nette Anfrage, sondern relativ frech. So wird das nichts mit blogpage.eu.