近日，Sucuri的安全研究人員發(fā)現(xiàn)，數(shù)萬WordPress站點被利用于實施第7層DDos攻擊。共有26000個不同的WordPress站點持續(xù)向同一個網(wǎng)站以每秒10000到11000次的頻率發(fā)送HTTPS請求，最多時能達到20000次每秒。更嚴重是，如果Pingback功能默認開啟，全球任何一個WordPress站點都可能被滲透，成為DDos攻擊網(wǎng)絡(luò)的一個源頭。

HTTP Flood是針對Web服務(wù)在第七層協(xié)議發(fā)起的大規(guī)模流量攻擊，不僅可以直接導(dǎo)致被攻擊的Web前端響應(yīng)緩慢，還間接攻擊到后端的Java等業(yè)務(wù)層邏輯以及更后端的數(shù)據(jù)庫服務(wù)，增大它們的壓力，甚至對日志存儲服務(wù)器都帶來影響。

建議所有基于Wordpress的網(wǎng)站盡快禁用Pingback。雖然無法保證網(wǎng)站免于遭受攻擊，但會終止黑客利用您的網(wǎng)站來攻擊其它目標。

最好的做法是，如果你確定不用pingbacks，就和xmlrpc一并關(guān)閉。如果需要使用，可以簡單修改.htaccess文件，只允許白名單中的IP來存取文件。流行插件Jetpack也可用于流量監(jiān)控。

 WordPress的pingback服務(wù)可被DDoS攻擊利用，這個漏洞早有披露，但至今仍有大量網(wǎng)站存在此問題，原因在于網(wǎng)站所有者很少刻意防止網(wǎng)站被僵尸網(wǎng)絡(luò)捕獲。而由于這種DDoS攻擊中流量來自數(shù)千個不同IP，基于網(wǎng)絡(luò)的防火墻也無法識別和攔截，只能限制每個IP地址的訪問頻率。