Bajo ciertas condiciones, cualquier sitio de WordPress puede utilizarse para lanzar un ataque de denegación de servicio (DoS, por las siglas en inglés de Denial of Service).

El propietario de un popular sitio web descubrió esto cuando se convirtió en víctima de un ataque de denegación de servicio distribuido (DDoS), llevado a cabo a través de más de 162 mil sitios de WordPress legítimos. El ataque inhabilitó el sitio web en lo que se conoce como un ataque de inundación distribuido basado en HTTP (capa 7). La víctima es un cliente de Sucuri y no puede ser nombrado. 

"Cualquier sitio de WordPress con XML-RPC habilitado (el cual se encuentra predeterminado) se puede utilizar en ataques DDoS contra otros sitios", dijo Daniel Cid, director de tecnología de Sucuri en un blog. "XML-RPC es utilizado para pingbacks, trackbacks, acceso remoto a través de dispositivos móviles y muchas otras características que son populares entre los usuarios."

En correspondencia por correo electrónico el martes pasado, Cid dijo a SCMagazine.com que Sucuri fue contratada cuando un ataque DDoS que aumentaba de tamaño a medida que pasaban las horas, inhabilitó al popular sitio web. El sitio objetivo era, por cierto, un sitio de WordPress, pero Cid dijo que cualquier sitio web puede verse afectado por este tipo de ataque de inundación.

"Su objetivo era generar suficiente carga en el sitio de WordPress víctima para inhabilitarlo", dijo Cid. "Usando URLs al azar, pueden lograrlo con tan sólo unos cientos de peticiones HTTP por segundo en un sitio promedio. Éste sobrepasaba las miles de peticiones HTTP por segundo."

El cliente dijo a Sucuri que el atacante era un rival, pero Cid dijo que no podía confirmarlo pues la fuente de los ataques estaba escondida detrás de todos los sitios de WordPress. Cid agregó que los más de 162,000 sitios de WordPress que lanzaban el ataque están distribuidos alrededor del mundo, la mayoría en los Estados Unidos y en las principales empresas de hosting.

Los propietarios de los sitios de WordPress que llevan a cabo los ataques de capa 7 podrían desconocer si su sitio forma parte del ataque, dijo Cid, explicando a los propietarios que pueden verificar si su sitio está siendo mal utilizado al mirar en las bitácoras en busca de cualquier petición "POST" al archivo XML-RPC.

Si los administradores de los sitios de WordPress ven un pingback a una URL aleatoria, sabrán si su sitio está llevando a cabo un ataque de DoS. Se puede evitar desactivando la funcionalidad XML-RPC y añadiendo unas líneas de código (lo cual se describe en el publicación del blog) o contratando los servicios de un grupo de seguridad.

"Es un problema muy conocido dentro de WordPress, ellos están conscientes de ello, sin embargo, no es algo para lo cual se pretenda liberar un parche de seguridad" Cid escribió. "En muchos casos, se clasifica como una característica, una que muchos plugins utilizan, por lo que ahí radica el dilema."