У WordPress виявлено просту, але серйозну вразливість на рівні програми, що дозволяє викликати відмову в обслуговуванні та відключити безліч сайтів. Як правило, для здійснення подібної DDoS-атаки на рівні мережі потрібні великі обсяги трафіку, проте нещодавно виявлена ​​вразливість дозволяє досягти бажаного ефекту за допомогою лише одного комп'ютера.

Виробник відмовляється випускати виправлення, тому вразливість (CVE-2018-6389) є практично у всіх версіях WordPress, випущених за останні дев'ять років, у тому числі в останньому стабільному релізі 4.9.2. Проблема була виявлена ​​ізраїльським дослідником безпеки Бараком Тауїлі (Barak Tawily) та пов'язана з тим, як вбудований у систему скрипт load-scripts.php обробляє обумовлені користувачем запити.

За допомогою файлу load-scripts.php адміністратори можуть покращувати продуктивність сайтів та підвищувати швидкість завантаження сторінок шляхом об'єднання (на стороні сервера) кількох JavaScript-файлів в один запит. Однак для включення load-scripts.php на сторінці адміністратора (wp-login.php) авторизація не потрібна, тобто функція доступна кожному.

Залежно від встановлених плагінів та модулів файл load-scripts.php вибірково викликає необхідні файли JavaScript, передаючи їх імена у параметр «load» через кому, наприклад: https://your-wordpress-site.com/wp-admin /load-scripts.php?c=1&load=editor,common,user-profile,media-widgets,media-gallery.

При завантаженні сайту load-scripts.php (згаданий на початку сторінки) намагається знайти ім'я кожного файлу JavaScript, вказаного в URL-адресі, додати вміст в один файл і відправити назад браузеру користувача.

За словами Тауїлі, зловмисник може змусити load-scripts.php викликати всі можливі файли JavaScript (тобто 181 скрипт), передавши їхні імена в URL-адресі. Таким чином атакуючий зможе суттєво уповільнити роботу сайту. Тим не менш, одного запиту недостатньо для того, щоб повністю покласти сайт. Тому Тауїлі використовував PoC-скрипт doser.py, що відправляє велику кількість одночасних запитів на ту саму URL-адресу, намагаючись використовувати якнайбільше ресурсів процесорів серверів і тим самим знизити їхню продуктивність.