In letzter Zeit begegnen mir immer wieder sogenannte „Vulnerability Report Scams“. Klar, mit Angst und Unwissenheit kann man Geld verdienen – also wird es auch jemand tun. Besonders fällt mir das im Zusammenhang mit der wp-cron.php auf.
Ich habe häufig Reports gesehen, die in etwa so aussehen:
Critical Vulnerability Report- {Critical BUG #P1} - https://www.example.com/ - vulnerable to attack via wp-cron.php
Hello Security team,
I am a Security Engineer, Cyber Security Researcher, Bug Bounty Hunter & Ethical Hacker. While testing your domain https://www.example.com/ I have found some important vulnerabilities in your site.
Vulnerability Name: https://www.example.com/ - vulnerable to DoS attack via wp-cron.php
Vulnerable Domain: https://www.example.com/wp-cron.php
Description:
The WordPress application is vulnerable to a Denial of Service (DoS) attack via the wp-cron.php script. This script is used by WordPress to perform scheduled tasks, such as publishing scheduled posts, checking for updates, and running plugins.
An attacker can exploit this vulnerability by sending a large number of requests to the wp-cron.php script, causing it to consume excessive resources and overload the server. This can lead to the application becoming unresponsive or crashing, potentially causing data loss and downtime.
I found this vulnerability at https://www.example.com/wp-cron.php endpoint.
Steps to Reproduce: reference- https://hackerone.com/reports/1888723
navigate to: https://www.example.com/wp-cron.php
intercept the request through the burp suite
right click on the request and send it to the repeater
Now send a request, and you will see the response as 200 OK
---
this can be also done by the curl command given below
curl -I "https://www.example.com/wp-cron.php"
POC: Attached
Impact:
If successful, this misconfigured wp-cron.php file can cause lots of damage to the site, such as:
Potential Denial of Service (DoS) attacks, resulting in unavailability of the application.
Server overload and increased resource usage, leading to slow response times or application crashes.
Potential data loss and downtime of the site.
Hackers can exploit the misconfiguration to execute malicious tasks, leading to security breaches.
Exploitation:
Exploitation can be done through a GitHub tool called doser.go https://github.com/Quitten/doser.go
I did not do that as this can impact your website.
Get the doser.py script at https://github.com/Quitten/doser.py
Use this command to run the script: python3 doser.py -t 999 -g 'https://www.example.com/wp-cron.php'
Go after https://www.example.com/ 1000 requests of the doser.py script.
The site returns code 502.
Suggested Mitigation/Remediation Actions:
To mitigate this vulnerability, it is recommended to disable the default WordPress wp-cron.php script and set up a server-side cron job instead. Here are the steps to disable the default wp-cron.php script and set up a server-side cron job:
Access your website's root directory via FTP or cPanel File Manager.
Locate the wp-config.php file and open it for editing.
Add the following line of code to the file, just before the line that says "That's all, stop editing! Happy publishing.":
1define('DISABLE_WP_CRON', true);
Save the changes to the wp-config.php file.
Set up a server-side cron job to run the wp-cron.php script at the desired interval. This can be done using the server's control panel or by editing the server's crontab file.
References:
For more information about this vulnerability, please refer to the following resources:
https://hackerone.com/reports/1888723
https://medium.com/@mayank_prajapati/what-is-wp-cron-php-0dd4c31b0fee
Cron
Fix Them
-----
I have protected your company and saved it from a big loss so give me some appreciation Bounty Reward.
I am sharing my PayPal ID with you.
Paypal ID: woop woop
Current Market Value Minimum Bounty Reward for Critical BUG P1 Type.
The bug I reported is part of type P1
Vulnerability severity Bug bounty reward amount (in USD)
P1 (Critical) $2500
P2 (High) $1500
P3 (Medium) $1000
P4 (Low) $500
Please feel free to let me know if you have any other questions or need further information.
I am happy to secure it.
I hope this will be fixed soon. Feel free to let me know if you have any other questions.
Thanks & Regards
Ist das nun ein echtes Problem oder nicht?
Nun… Ja und Nein. In der Nachricht wird korrekt beschrieben, was die wp-cron.php tut und warum sie wichtig ist. Auch die Tatsache, dass sie extern unendlich oft aufgerufen werden kann und dadurch potenziell eine Überlastung auslösen könnte, ist nicht falsch. Selbst der Tipp, auf eine lokale Crontab-Version umzusteigen, ist nicht verkehrt. Allerdings muss man das Ganze in den richtigen Kontext setzen: wp-cron.php ist standardmäßig in WordPress aktiviert und wird für geplante Aufgaben genutzt. Die geplanten Aufgaben werden in der Datenbank abgelegt, gibt es etwas zutun und die wp-cron.php wird aufgerufen, dann wird auch gearbeitet, gibt es nichts zutun, dann gibt es auch keine Arbeit. Die Empfehlung, sie zu deaktivieren und durch einen serverseitigen Cron-Job zu ersetzen, ist eher eine Performance-Optimierung als eine echte Sicherheitsmaßnahme.
Es handelt sich hierbei nicht um einen Zero-Day-Exploit und es gibt keine direkte Gefahr eines Datenabflusses. Falls es wirklich zu Performance-Problemen kommt, gibt es einfache Gegenmaßnahmen. Sollte tatsächlich jemand versuchen, die wp-cron.php gezielt anzugreifen, hilft ein simples Rate Limiting – entweder über die Firewall oder direkt mit mod_security (Apache) bzw. limit_req (nginx).
Ein Beispiel für nginx:
limit_req_zone $binary_remote_addr zone=cronlimit:10m rate=1r/s;
server {
location = /wp-cron.php {
limit_req zone=cronlimit burst=3 nodelay;
limit_req_status 429;
}
}
Das begrenzt die Anfragen auf 1 Anfrage pro Sekunde, mit maximal 3 Anfragen in kurzer Zeit.
Sollte man wp-cron.php einfach deaktivieren?
Nicht unbedingt. Klar, im Fall eines Angriffs kann das als erste Maßnahme helfen. Besser ist es aber, wp-cron.php lokal auszuführen und den Zugriff darauf über den Webserver auf bestimmte IP-Adressen zu beschränken – zum Beispiel die lokale des Webservers. Anschließend kann man einen Cronjob anlegen, der alle 15 Minuten ausgeführt wird:
*/15 * * * * wget -q -O - https://www.example.com/wp-cron.php?doing_wp_cron >/dev/null 2>&1
Zugriff per nginx einschränken:
location ~* ^/wp-cron.php$ {
allow 1.2.3.4; # Ersetze mit deiner IP
deny all;
}
Fazit:
Das ist ganz sicher kein P1-Bug. Und wenn der Report direkt eine Preistabelle mitliefert, ist das schon ein ziemlich eindeutiges Zeichen für einen Scam.
Zusammengefasst:
- Ja, wp-cron.php könnte unter bestimmten Umständen zu Problemen führen.
- Nein, es ist kein echter Sicherheits-Bug.
- Wer weiß, was er tut, hat bereits die richtigen Maßnahmen getroffen.
Also: Keine Panik. Stattdessen lieber kurz die eigene Konfiguration prüfen und gut ist.
Wer auf das nginx Rate Limit setzt und dieses einfach testen möchte, kann das folgende Bash-Script nutzen: rate_limit_test.sh
08-03-2025 kleines Update. Das script ist zu github gewechselt.
Kann ich bestätigen, richtig danke!