Jak naprawiać i zapobiegać atakom XSS w WordPress

Opublikowany: 2022-06-14
How to fix and prevent xss attacks

Martwisz się, że hakerzy zaatakują Twoją witrynę?

Skrypty między witrynami, zwane również XSS, to jeden z najczęstszych ataków na witryny WordPress. Hakerzy znajdują luki w Twojej witrynie i wykorzystują je do kradzieży informacji i niewłaściwego wykorzystywania witryny.

Co gorsza, jeśli nie naprawisz tego natychmiast, te hacki mogą prowadzić do poważniejszych uszkodzeń – takich, z których naprawdę trudno się wyleczyć.

Możesz zapobiec tym włamaniom, instalując zaporę sieciową w swojej witrynie WordPress.

Jeśli Twoja witryna jest już atakowana, pokażemy Ci, jak to naprawić, w prostym, przyjaznym dla początkujących języku. W tym samouczku ograniczymy żargon cyberbezpieczeństwa do absolutnego minimum. Pokażemy Ci również, jak zapobiegać przyszłym atakom.

Po pierwsze, szybko zrozummy, co dzieje się w ataku XSS, abyś był lepiej przygotowany do radzenia sobie z nim.

Czym jest atak XSS w WordPressie?

XSS to skrót od Cross Site Scripting, który jest rodzajem ataku polegającego na wstrzykiwaniu złośliwych skryptów do witryny internetowej.

Skrypty te są zamaskowane jako dobry kod na zaufanej stronie internetowej. Następnie, gdy użytkownik trafia na tę witrynę, jego przeglądarka wykonuje cały kod, w tym złośliwy skrypt, ponieważ uważa, że ​​są to zaufane instrukcje.

Mówiąc prościej, wyobraź sobie, że jesteś szpiegiem i właśnie otrzymałeś oficjalny e-mail od rządu dotyczący ściśle tajnej misji. Zawiera wszystkie instrukcje, które musisz wykonać, aby przejść do T.

Nie wiesz, że ktoś przechwycił tę wiadomość e-mail i dodał jeszcze kilka własnych instrukcji. Rząd nie ma o tym pojęcia, a ty nie zawracasz sobie głowy sprawdzaniem, ponieważ ufasz źródłu.

Niektóre z nich nie mają sensu, ale jesteś wyszkolony, aby wykonywać każde polecenie, aby osiągnąć swoją misję.

W tym scenariuszu rząd to Twoja witryna, a szpiegiem przeglądarka użytkownika. Przeglądarka postępuje zgodnie z instrukcjami z Twojej witryny i nie rozróżnia dobrych i złych skryptów.

Skrypty te są zwykle w JavaScript, jednym z najpopularniejszych i najczęściej używanych języków programowania. Chociaż ataki te mogą odbywać się przy użyciu dowolnego języka po stronie klienta.

Obecnie istnieje wiele sposobów przeprowadzenia ataku XSS. Jednym ze sposobów jest wysłanie linku do niczego niepodejrzewających użytkowników, aby skłonić ich do kliknięcia. Gdy na nią klikną, atak może wykonać jedną lub więcej z następujących czynności:

  • Przekieruj użytkowników do złośliwej witryny
  • Przechwytuj naciśnięcia klawiszy użytkownika
  • Uruchamiaj exploity oparte na przeglądarce internetowej
  • Kradzież informacji o plikach cookie użytkownika zalogowanego na koncie

Jeśli haker jest w stanie wykraść informacje z plików cookie, może całkowicie naruszyć konto użytkownika. Na przykład, jeśli jesteś zalogowany do panelu administratora wp swojej witryny, haker może ukraść Twoje dane uwierzytelniające i zalogować się do Twojej witryny.

Aby zapobiec tym atakom, musisz upewnić się, że wszystkie dane użytkownika są sprawdzane i odpowiednio oczyszczane, zanim trafią do Twojej witryny. W ten sposób żadne dane wejściowe użytkownika nie mogą być złośliwym kodem JavaScript. Oprócz tego musisz upewnić się, że na Twojej stronie nie ma luk XSS, które mogą pozwolić hakerowi na atak.

Ledwie zarysowaliśmy powierzchnię ataków XSS, ale mamy nadzieję, że dobrze rozumiesz, jak działa atak XSS WordPress. Teraz, jeśli podejrzewasz, że Twoja witryna została zaatakowana przez hakerów, skorzystaj z naszego prostego samouczka krok po kroku poniżej.

Jak znaleźć i naprawić atak XSS w WordPress

Aby znaleźć jakiekolwiek złośliwe oprogramowanie lub ataki hakerskie w Twojej witrynie, musisz przeprowadzić dokładne skanowanie całej witryny, w tym jej plików i bazy danych.

Użyjemy Sucuri do przeskanowania i oczyszczenia zaatakowanej witryny. Sucuri zapewnia solidną konfigurację zabezpieczeń, w tym zaporę ogniową, skaner złośliwego oprogramowania i narzędzie do usuwania złośliwego oprogramowania.

Sucuri oferuje bezpłatny skaner złośliwego oprogramowania, który można zainstalować w witrynie WordPress, przechodząc do Wtyczki » Dodaj nową kartę.

Zalecamy używanie skanera premium po stronie serwera. To przewróci Twoją witrynę na lewą stronę, aby znaleźć jakiekolwiek ślady złośliwego oprogramowania.

Oprócz tego, oto kilka jego najważniejszych cech:

  • Monitoruje spam i złośliwe skrypty
  • Sprawdza, czy nie ma ukrytych tylnych drzwi stworzonych przez hakerów
  • Wykrywa zmiany wprowadzone w DNS (system nazw domen) i SSL
  • Sprawdza czarne listy w wyszukiwarkach i innych organach
  • Monitoruje czas działania witryny
  • Natychmiastowe powiadomienia przez e-mail, SMS, Slack i RSS

Aby uzyskać więcej informacji, przeczytaj naszą recenzję Sucuri.

Sucuri ma cenę 199,99 USD rocznie. Jeśli nie masz na to budżetu, możesz wypróbować inne wtyczki zabezpieczające. Zobacz naszą listę: Porównanie 9 najlepszych wtyczek zabezpieczających WordPress.

Wybierając wtyczkę bezpieczeństwa, upewnij się, że zapewnia ona wszystkie funkcje bezpieczeństwa cybernetycznego, których potrzebujesz, aby znaleźć i naprawić infekcje złośliwym oprogramowaniem oraz chronić swoją witrynę.

Krok 1: Skanowanie Twojej witryny

Aby rozpocząć, musisz zapisać się na plan z Sucuri. Następnie zaloguj się do pulpitu nawigacyjnego Sucuri, gdzie możesz dodać swoją witrynę.

Add site in Sucuri

Tutaj musisz połączyć swoją witrynę internetową, wprowadzając swoje dane logowania FTP. Jeśli nie znasz swoich danych logowania FTP, możesz je uzyskać od swojego usługodawcy hostingowego.

Connect site to Sucuri

Gdy Twoja witryna zostanie podłączona, Sucuri automatycznie przeprowadzi dokładne skanowanie Twojej witryny. Po zakończeniu wyświetli szczegółowy raport w zakładce „Moje witryny” .

Sucuri dashboard site infected

Teraz możesz kliknąć przycisk „Szczegóły” obok komunikatu ostrzegawczego. Spowoduje to otwarcie strony Monitorowanie , na której możesz wyświetlić szczegóły włamania lub infekcji.

Krok 2: Prośba o usunięcie złośliwego oprogramowania

Na stronie Monitorowanie możesz sprawdzić, jakie złośliwe oprogramowanie zainfekowało Twoją witrynę. Sucuri dodaje ocenę wskazującą poziom ryzyka. Więc jeśli jest to krytyczne lub wysokie ryzyko, wiesz, że musisz to natychmiast naprawić. Ponadto pokaże Ci również, czy Twoja witryna została umieszczona na czarnej liście przez jakiekolwiek wyszukiwarki.

Clean up site with Sucuri

Teraz, gdy wiesz, że Twoja witryna jest zainfekowana, musisz ją wyczyścić, a Sucuri bardzo to ułatwi. Aby rozpocząć proces, kliknij przycisk „Wyczyść moją witrynę” .

Malware removal request in Sucuri

Na następnej stronie kliknij przycisk Nowa prośba o usunięcie złośliwego oprogramowania , a pojawi się formularz, w którym możesz wprowadzić dane swojej witryny.

Malware removal request form in Sucuri

Wystarczy wypełnić formularz i przesłać go. Gdy to zrobisz, eksperci ds. bezpieczeństwa Sucuri wyczyszczą Twoją witrynę za Ciebie. Jeśli nie znasz żadnych szczegółów potrzebnych do formularza, możesz poprosić o nie swojego usługodawcę hostingowego.

Teraz możesz się zastanawiać, ile czasu zajmie wyczyszczenie witryny.

Sucuri daje pierwszeństwo użytkownikom planu biznesowego. Zapewniają czas realizacji 6 godzin. W przypadku innych planów zależy to od stopnia złożoności infekcji witryny i liczby żądań oczekujących w kolejce.

Natychmiast po ataku zdecydowanie zalecamy wylogowanie wszystkich użytkowników z Twojej witryny i zmianę danych logowania na bezpieczną stronę.

Jak zapobiegać atakom XSS na Twoją witrynę WordPress?

Zawsze najlepiej jest chronić swoją witrynę i zapobiegać tego rodzaju atakom złośliwego oprogramowania w witrynie. Jest to o wiele łatwiejsze i tańsze niż próba naprawy zhakowanej witryny. Oto nasze najlepsze zalecane kroki, aby zapobiec atakom XSS na Twoją witrynę.

1. Włącz zaporę aplikacji internetowej (WAF)

Sucuri ma jedną z najlepszych zapór ogniowych dla witryn WordPress. Blokuje nie tylko ataki XSS, ale także wszelkiego rodzaju inne ataki złośliwego oprogramowania, takie jak DDoS, Brute Force, phishing i zastrzyki SQL.

Zapora będzie znajdować się przed Twoją witryną i skanować każdego przechodzącego użytkownika. Zidentyfikuje i zablokuje złe boty, zanim dotrą do Twojej witryny.

Aby włączyć zaporę Sucuri, przejdź do zakładki Zapora na pulpicie nawigacyjnym Sucuri.

Wybierz swoją witrynę, a zobaczysz instrukcje konfiguracji, które możesz wykonać. Sucuri oferuje 2 opcje konfiguracji zapory:

1. Automatyczna integracja: po prostu wprowadź swoje dane uwierzytelniające hosting za pomocą cPanel lub Plesk. Ta metoda wymaga udzielenia Sucuri dostępu do serwera Twojej witryny, aby automatycznie skonfigurować zaporę sieciową w Twojej witrynie.

Sucuri firewall waf

2. Integracja ręczna: możesz samodzielnie skonfigurować zaporę sieciową bez udzielania wewnętrznego dostępu do Sucuri. Aby rozpocząć, kliknij link do domeny wewnętrznej i upewnij się, że się ładuje.

check internal domain link

Następnie możesz skonfigurować swój DNS, aby kierować ruch sieciowy na zaporę sieciową Sucuri. W tym celu musisz uzyskać dostęp do rekordów DNS na swoim koncie hostingowym. Tutaj możesz zmienić rekord „A” swojej witryny i wprowadzić adresy IP dostarczone przez Sucuri.

sucuri dns ip addresses

Jeśli jesteś zestresowany, że to wszystko jest zbyt skomplikowane, możesz poprosić o pomoc swojego usługodawcę hostingowego, który poprowadzi Cię przez cały proces. Oprócz tego możesz również zgłosić zgłoszenie do pomocy technicznej w Sucuri, a ich zespół pomocy pomoże ci zmienić rekordy DNS.

Aby otworzyć bilet, znajdziesz link w instrukcji obsługi na tej samej stronie.

open a ticket sucuri

Po skonfigurowaniu zapory zazwyczaj zmiany zostaną odzwierciedlone w ciągu kilku godzin. Możesz oczekiwać, że maksymalny czas oczekiwania to 48 godzin.

Po włączeniu zapory automatycznie doda ona nagłówki zabezpieczeń do Twojej witryny, aby chronić ją przed atakami XSS.

Jeśli dojdzie do próby ataku XSS, Sucuri zablokuje go i zgłosi to w zakładce Raporty .

Teraz to, co kochamy w zaporze Sucuri, to to, że jest tak łatwy w użyciu dla każdego, w tym dla początkujących. Nie musisz być ekspertem od cyberbezpieczeństwa ani znać żadnego kodowania.

Możesz włączyć wszystkie rodzaje funkcji ochrony za pomocą jednego kliknięcia w Ustawienia »zakładka Bezpieczeństwo .

Na przykład możesz włączyć ochronę przed atakami DDoS i blokowanie geograficzne, aby utrudnić hakerom atakowanie Twojej witryny.

Emergency ddos protection

Aby włączyć tutaj funkcję bezpieczeństwa, wystarczy zaznaczyć pole i zapisać ustawienia. Kiedy musisz go wyłączyć, wystarczy odznaczyć to pole.

Poza tym wtyczka Sucuri:

  • Regularnie skanuj i monitoruj w poszukiwaniu spamu i złośliwego kodu
  • Ostrzegaj o wszelkich lukach w zabezpieczeniach cross-site scripting
  • Blokuj złe boty i hakerów
  • Sprawdź czarne listy w wyszukiwarkach i innych organach
  • Monitoruj dostępność witryny
  • Wykryj zmiany wprowadzone w DNS (system nazw domen) i SSL
  • Wysyłaj natychmiastowe alerty bezpieczeństwa przez e-mail, SMS, Slack i RSS

Dzięki temu Twoja witryna będzie chroniona przez cały czas.

2. Używaj bezpiecznych formularzy

Formularze na podatnej stronie internetowej są jednym z najczęstszych celów hakerów. Jeśli formularz jest niezabezpieczony, oznacza to, że każdy może po prostu wprowadzić złośliwy kod w polach formularza.

Naszą rekomendacją dotyczącą zabezpieczania formularzy Twojej witryny jest WPForms. Jest to najlepszy kreator formularzy WordPress, który ma wbudowane zabezpieczenia, dzięki czemu Twoje formularze są chronione od samego początku.

anti spam protection in WPForms

Domyślnie formularze mają włączoną ochronę antyspamową. Dodatkowo możesz nawet dodać CAPTCHA do swoich formularzy, aby blokować boty spamujące.

Advanced noCaptcha and Invisible Captcha

Możesz włączyć niewidzialną captcha lub typ, w którym użytkownik będzie musiał rozwiązać małą zagadkę lub zaznaczyć pole, aby udowodnić, że jest człowiekiem.

3. Ustaw uprawnienia ról użytkownika

Gdy w Twojej witrynie pracuje wiele osób, nie jest mądrze dawać wszystkim dostęp administracyjny. Lepiej przypisać im role na podstawie potrzebnych im uprawnień.

WordPress pozwala tworzyć role dla:

  • Superadministrator
  • Administrator
  • Redaktor
  • Autor
  • Współpracownik
  • Abonent

Teraz, jeśli haker przejmie kontrolę nad kontem użytkownika, będzie ograniczony w tym, co może zrobić w Twojej witrynie.

4. Automatyczne wylogowanie nieaktywnych użytkowników

Hakerzy mogą uzyskać dostęp do kont użytkowników, przechwytując ich sesje przeglądarki i kradnąc pliki cookie.

Możesz zminimalizować to ryzyko, wylogowując nieaktywnych użytkowników WordPressa.

Wiele wtyczek zabezpieczających ma funkcję wylogowania z sesji bezczynności lub można użyć wtyczki Inactive Logout.

5. Regularnie aktualizuj swoją witrynę

Wtyczki WordPress, motywy, a nawet instalacja WordPress są regularnie aktualizowane. Zobaczysz je w panelu WordPress, gdy będą dostępne:

updates in wordpress

Wielu właścicieli witryn przez długi czas ignoruje aktualizacje, ale może to narazić Twoją witrynę na ataki hakerów. Aktualizacje zwykle zawierają poprawki błędów, nowe funkcje i ulepszenia oprogramowania. Mogą również mieć łatki bezpieczeństwa. Możesz sprawdzić, czy aktualizacja zawiera poprawkę bezpieczeństwa, przeglądając szczegóły aktualizacji.

view version details of update

Oznacza to, że w oprogramowaniu wykryto lukę, którą hakerzy mogą wykorzystać do zaatakowania Twojej witryny. Gdy programiści znajdą problemy z bezpieczeństwem, łatają je i wydają nową wersję oprogramowania.

Wszystko, co musisz zrobić, to zaktualizować oprogramowanie na swojej stronie.

Jeśli więc zauważysz, że jest to poprawka bezpieczeństwa, zaktualizuj ją natychmiast, aby uniknąć ryzyka włamania.

security update

Jednym z głównych powodów, dla których właściciele witryn ignorują aktualizacje, jest to, że czasami mogą uszkodzić witrynę lub spowodować problemy z niezgodnością. Zalecamy przetestowanie aktualizacji w witrynie tymczasowej, a następnie uruchomienie jej w działającej witrynie.

Dzięki temu nauczyłeś się, jak naprawiać i zapobiegać atakom XSS na swoją witrynę WordPress.

Zanim zakończymy, damy Ci jeszcze jedną wskazówkę dotyczącą bezpieczeństwa. Zawsze rób regularne kopie zapasowe swojej witryny.

Nawet przy najsilniejszych środkach bezpieczeństwa w Twojej witrynie istnieje wiele rzeczy, które mogą pójść nie tak. Na przykład użytkownik może popełnić prosty błąd ludzki, który powoduje awarię Twojej witryny.

Możesz skonfigurować automatyczne kopie zapasowe za pomocą wtyczki do tworzenia kopii zapasowych, takiej jak UpdraftPlus. Aby uzyskać więcej opcji, zobacz naszą listę najlepszych wtyczek do tworzenia kopii zapasowych WordPress.

Często zadawane pytania

1. Czy WordPress jest podatny na ataki cross-site scripting?

Podstawowe oprogramowanie WordPressa jest opracowywane i utrzymywane przez jednych z najlepszych ekspertów na świecie. Ich oprogramowanie jest dość solidne, ale należy pamiętać, że żadne oprogramowanie nie jest wolne od luk w zabezpieczeniach.

Powodem, dla którego strony internetowe WordPress są często atakowane, jest to, że platforma jest tak popularna. Większość użytkowników instaluje mnóstwo motywów i wtyczek innych firm. W każdym z tych elementów mogą powstać luki, które hakerzy mogą wykorzystać do zhakowania Twojej witryny.

2. Czy istnieją różne rodzaje ataków cross-site scripting?

TAk. Istnieją 3 główne typy ataków XSS:

  • Przechowywany XSS (znany również jako trwały XSS): Atakujący przechowuje swój ładunek na zaatakowanym serwerze, powodując, że witryna dostarcza złośliwy kod innym odwiedzającym.
  • Odzwierciedlony XSS: Ładunek jest przechowywany w danych przesyłanych z przeglądarki na serwer.
  • DOM XSS: tutaj sam serwer nie jest tym, który jest podatny na XSS, ale raczej JavaScript na stronie.
  • Self cross-site scripting: Atakujący mogą wykorzystać lukę, która wymaga naprawdę konkretnego kontekstu i ręcznych zmian. Ofiarą tutaj możesz być tylko ty sam.
  • Ślepy skrypt cross-site: w przypadku tych ataków luka często dotyczy strony, do której mają dostęp tylko autoryzowani użytkownicy. Atakujący nie widzi wyniku ataku.

3. Jak mogę się upewnić, że na mojej stronie nie ma innych problemów z bezpieczeństwem?

Upewnij się, że zawsze masz zainstalowaną wtyczkę bezpieczeństwa w swojej witrynie. Jest to konieczne dla wszystkich rodzajów witryn internetowych, w tym WooCommerce, blogów i witryn małych firm. Polecamy Sucuri, ale możesz też sprawdzić Wordfence, MalCare i SiteLock. Zobacz więcej naszych najlepszych rekomendacji tutaj: Porównanie 9 najlepszych wtyczek zabezpieczających WordPress.

To wszystko, co mamy dla Ciebie dzisiaj. Mamy nadzieję, że ten post dostarczył Ci wszystkiego, czego potrzebujesz, aby zabezpieczyć swoją witrynę.

Więcej informacji na temat bezpieczeństwa witryn internetowych można znaleźć w naszych zasobach dotyczących:

  • Kompletny przewodnik dotyczący bezpieczeństwa WordPress (przyjazny dla początkujących)
  • 5 najlepszych skanerów luk w zabezpieczeniach WordPress do wykrywania zagrożeń
  • 9 najlepszych wtyczek dziennika aktywności do śledzenia i audytu witryny WordPress

Posty te zapewnią więcej sposobów na uszczelnienie luk w zabezpieczeniach i ochronę witryny przed wszelkimi zagrożeniami.