XSS атаки очень — очень распространенный вид взлома сайтов. В каждой системе управления сайтом (CMS) есть уязвимые места в безопасности. В каких-то их больше, в каких-то меньше. Это уже зависит исключительно от внимательности и ответственности разработчиков. Сейчас существуют приблизительная статистика дыр в безопасности. С ее помощью можно увидеть, какие системы управления менее уязвимы, а какие очень уязвимы. Чтобы не говорили, WordPress одна из менее уязвимых CMS, разработчики, находя дырки в безопасности, сразу же делают заплатки на них, этим и обусловлено обновление движка.
XSS атака – это атака на уязвимость, которая существует на сервере, позволяющая внедрить в генерируемую сервером HTML-страницу некий произвольный код.
То есть, говоря проще, XSS атака – это атака с помощью уязвимостей на сервере на компьютеры клиентов.
- Возможно при открытии страницы вызвать открытие большого количества ненужных пользователю окон.
- Возможна вообще переадресация на другой сайт (например, на сайт конкурента).
- Существует возможность загрузки на компьютер пользователя скрипта с произвольным кодом (даже вредоносного) путем внедрения ссылки на исполняемый скрипт со стороннего сервера.
- Зачастую происходит кража личной информации с компьютера пользователя, помимо Cookies в качестве объекта кражи выступает информация о посещенных сайтах, о версии браузера и операционной системе, установленной на компьютере пользователя, да к тому же еще и плюсуется IP-адрес компьютера пользователя.
- XSS атака может быть проведена не только через сайт, но и через уязвимости в используемом программном обеспечении (в частности, через браузеры). Поэтому рекомендуем почаще обновлять используемое программное обеспечение.
- Также возможно проведение XSS атак через использование SQL-кода.
Так что всегда обновляйте WordPress и установленные плагины. Если вышло обновление, значит разработчики что то исправили, заткнули дырку, усовершенствовали! (за исключением некоторых плагинов, которые при обновлении начинают работать не так, как хотелось бы. Подобный случай был рассмотрен с обзоре плагина «Как добавить кнопку Вверх»).
Признаков что взломали ваш сайт может быть несколько. Это может быть всплывающее окошко с текстом «Вас взломали!», либо замена или удаление некоторых статей. Но размещенный код на странице сайта так же может и передать злоумышленнику доступ в панель управления.
Как с этим бороться? Для этого вам может пригодиться плагин Anti XSS Attack.
Плагин устанавливается очень просто: Копируется в каталог plugins и активируется в админ-панели. Сразу обращаю внимание тех, у кого в браузере отключена передача referer — в этом случае все ваши действия WordPress будет воспринимать как XSS-атаку. Если из-за этого вы не можете получить доступ к админ-панели, то удалите файл плагина. WordPress автоматом его деактивирует.
Теперь, если будет выполнен запрос с чужих сайтов на ваш, то появится ссылка, человек может по ней перейти, тем самым подтверждая, что он не робот и не скрипт. А вот как раз скрипт и робот застрянут на странице с ссылкой, так и не перейдя по ней, ну не умеют они так делать.
Актуальная проблема и по сей день, мне помогает плагин защиты All In One WP Security