Главная / Уроки Wordpress / Как защитить сайт от XSS атак

Как защитить сайт от XSS атак

XSS атаки очень — очень распространенный вид взлома сайтов. В каждой системе управления сайтом (CMS)  есть уязвимые места в безопасности. В каких-то их больше, в каких-то меньше. Это уже зависит исключительно от внимательности и ответственности разработчиков. Сейчас  существуют приблизительная статистика дыр в безопасности. С ее помощью можно увидеть, какие системы управления менее уязвимы, а какие очень уязвимы. Чтобы не говорили, WordPress одна из менее уязвимых CMS, разработчики, находя дырки в безопасности, сразу же делают заплатки на них, этим и обусловлено обновление движка.

Есть и хорошие защищенные хостинги для сайтов, которые помимо ваших усилий по обеспечению безопасности, сами следят за защищенностью своих серверов и сайтов своих клиентов.

XSS атака – это атака на уязвимость, которая существует на сервере, позволяющая внедрить в генерируемую сервером HTML-страницу некий произвольный код.

То есть, говоря проще, XSS атака – это атака с помощью уязвимостей на сервере на компьютеры клиентов.

  • Возможно при открытии страницы вызвать открытие большого количества ненужных пользователю окон.
  • Возможна вообще переадресация на другой сайт (например, на сайт конкурента).
  • Существует возможность загрузки на компьютер пользователя скрипта с произвольным кодом (даже вредоносного) путем внедрения ссылки на исполняемый скрипт со стороннего сервера.
  • Зачастую происходит кража личной информации с компьютера пользователя, помимо Cookies в качестве объекта кражи выступает информация о посещенных сайтах, о версии браузера и операционной системе, установленной на компьютере пользователя, да к тому же еще и плюсуется IP-адрес компьютера пользователя.
  • XSS атака может быть проведена не только через сайт, но и через уязвимости в используемом программном обеспечении (в частности, через браузеры). Поэтому рекомендуем почаще обновлять используемое программное обеспечение.
  • Также возможно проведение XSS атак через использование SQL-кода.

Так что всегда обновляйте WordPress и установленные плагины. Если вышло обновление, значит разработчики что то исправили, заткнули дырку, усовершенствовали! (за исключением некоторых плагинов, которые при обновлении начинают работать не так, как хотелось бы. Подобный случай был рассмотрен с обзоре плагина «Как добавить кнопку Вверх»).

Признаков что взломали ваш сайт может быть несколько. Это может быть всплывающее окошко с текстом «Вас взломали!», либо замена или удаление некоторых статей. Но размещенный код на странице сайта так же может и передать злоумышленнику доступ в панель управления.

xss-ataka

Как с этим бороться? Для этого вам может пригодиться плагин Anti XSS AttackСкачать

Плагин устанавливается очень просто: Копируется в каталог plugins и активируется в админ-панели. Сразу обращаю внимание тех, у кого в браузере отключена передача referer — в этом случае все ваши действия WordPress будет воспринимать как XSS-атаку. Если из-за этого вы не можете получить доступ к админ-панели, то удалите файл плагина. WordPress автоматом его деактивирует.

Теперь, если будет выполнен запрос с чужих сайтов на ваш, то появится ссылка, человек может по ней перейти, тем самым подтверждая, что он не робот и не скрипт. А вот как раз скрипт и робот застрянут на странице с ссылкой, так и не перейдя по ней, ну не умеют они так делать.

 

В тему!

не работают файлы перевода WordPress

Если не работают файлы перевода WordPress

Сидел писал новый обзор плагина и в очередной раз столкнулся с проблемой: не работают файлы перевода ...

Один комментарий

  1. Актуальная проблема и по сей день, мне помогает плагин защиты All In One WP Security

Добавить комментарий для Станислав Отменить ответ

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.