На прошлой неделе мы писали об отчете компании Sucuri, в котором говорилось о том, как 162 000 сайтов на WordPress использовались для организации DDoS-атаки через протокол XML-RPC. Алекс Шайлс, который работает над Akismet, написал в Twitter о том, что команда безопасности создала решение для данной проблемы.
Обновление Akismet, доступное в данный момент, содержит исправление ошибок, касающихся безопасности и анти-спам фильтров. В частности:
- Включен заголовок X-Pingback-Forwarded-For для всех исходящих pingback-верификаций.
- добавлена предварительная проверка уведомлений, чтобы предотвратить спам еще до выполнения исходящего верификационного запроса.
Как утверждает Шайлс, анти-спам проверки выполнялись после того, как уведомление было верифицировано, и WordPress не передавал информацию о том, кто сделал данный запрос. Шайлс также указал, что данные исправления могут появиться в ядре WordPress в будущих версиях: «Мы считаем, что аналогичный подход можно применить в ядре WordPress».
Как отключить уведомления для уже опубликованного контента
Вы можете легко отключить уведомления в разделе Параметры – Обсуждение, однако для удаления их из уже опубликованного контента нужно выполнить MySQL-запрос. К счастью, существует плагин, который позволяет обойтись без запросов – он называется Auto-Close Comments, Pingbacks and Trackbacks.
Плагин Auto-close предлагает пользователям определенную гибкость в плане того, что именно нужно отключить для записей и страниц – обратные ссылки или уведомления. Однако нет никакой возможности отключить их для всех записей или страниц. Я смог все же отключить их для большей части контента, закрыв уведомления и обратные ссылки для страниц, которые старше одного дня. Если у вас много уже опубликованного контента, то в таком случае вы можете использовать встроенный планировщик, чтобы избежать высокой нагрузки на сервер.
Мне не попадалось больше плагинов, которые помогли бы отключить уведомления и обратные ссылки одним махом, без использования запросов к базе данных.
Источник: wptavern.com