在CloudFlare，我们的很多客户都使用WordPress，这就是为什么我们有自己的插件，我们在WordCamp上闲逛，并为我们的Web应用防火墙编写了一个WordPress特定的规则集。WordPress在web上的普遍存在使其成为第7层攻击的理想目标，其作为博客平台的强大功能可能对小型web和数据库服务器提出要求，这意味着第7层攻击可以有效地使WordPress服务器使用相对较少的请求而离线。最近Sucuri的人发现了一个使用WordPress的pingback机制的大型DDoS。pingback是一个网站告诉另一个网站它已经链接到他们的内容的一种方式。我们在过去也见过这种攻击，并且已经制定了WAF规则来阻止它。WordPress公开XMLRPC终结点-xmlrpc.php文件-哪些其他网站可以以标准格式向其发出帖子请求，以通知博客其内容已链接到。它发送的消息包含他们引用的博客链接，以及他们放置链接的页面。当WordPress接收到pingback时，它会向源页面发出请求，以检查链接是否确实存在。攻击者可以使用此机制指定WordPress站点上的真实链接和目标受害者，这将触发对受害者站点的HTTP请求。您可以将其视为一种HTTP反射攻击，因为攻击者可以向支持pingback的XMLRPC端点发送一个相对较小的请求，并在受害者的服务器上触发更大的工作量和响应。幸运的是，我们的WordPress WAF规则WP0001"WordPress Pingback Blocker"将立即阻止您的WordPress博客被用于此类Pingback滥用。如果你运行WordPress，你可能需要考虑在今天启用它。

您可以在CloudFlare设置>安全性>管理WAF部分找到"CloudFlare WordPress"规则集，切换开关以打开CloudFlare WordPress规则集，您就一切就绪。Sucuri观察到的攻击还使用了一个变异的查询字符串来指定他们在其中放置了链接的URL。这种伪造的URL会使大多数缓存失效，这意味着服务器必须一次又一次地从零开始生成页面。幸运的是，我们还有CloudFlare WordPress rule 100000"WordPress数字僵尸网络"，它将阻止此类行为。因此，无论你的博客是用来攻击他人还是被攻击自己，我们的WAF都能提供帮助。有关WAF的更多信息cloudflare.com/waf