Cum să remediați și să preveniți atacurile XSS în WordPress

Publicat: 2022-06-14
How to fix and prevent xss attacks

Ești îngrijorat că hackerii îți atacă site-ul?

Cross-site scripting, numit și XSS, este unul dintre cele mai frecvente atacuri pe site-urile WordPress. Hackerii găsesc vulnerabilități pe site-ul dvs. și le folosesc pentru a fura informații și a vă folosi abuziv site-ul.

Mai rău este că, dacă nu o remediați imediat, aceste hack-uri ar putea duce la daune mai grave – de genul din care este cu adevărat greu de recuperat.

Puteți preveni aceste hack-uri instalând un firewall pe site-ul dvs. WordPress.

Dacă site-ul dvs. este deja atacat, vă vom arăta cum să-l remediați imediat, într-un limbaj simplu, prietenos pentru începători. Vom menține jargonul de securitate cibernetică la minimum în acest tutorial. De asemenea, vă vom arăta cum să preveniți atacurile viitoare.

În primul rând, să înțelegem rapid ce se întâmplă într-un atac XSS, astfel încât să fii mai bine echipat pentru a-l face față.

Ce este un atac XSS în WordPress?

XSS înseamnă Cross Site Scripting, care este un fel de atac prin injecție în care hackerii injectează scripturi rău intenționate într-un site web.

Aceste scripturi sunt deghizate ca cod bun pe un site web de încredere. Apoi, atunci când un utilizator ajunge pe acest site web, browserul său execută tot codul, inclusiv scriptul rău intenționat, deoarece crede că toate sunt instrucțiuni de încredere.

În termeni mai simpli, imaginați-vă că sunteți un spion și tocmai ați primit un e-mail oficial de la guvern despre o misiune super-secretă. Conține toate instrucțiunile pe care trebuie să le urmați până la T.

Ceea ce nu știți este că cineva a interceptat acel e-mail și a adăugat câteva instrucțiuni proprii. Guvernul habar n-are despre asta și nu vă obosiți să verificați din nou pentru că aveți încredere în sursă.

Unele dintre ele nu au sens, dar ești antrenat să te supui oricărui ordin pentru a-ți îndeplini misiunea.

În acest scenariu, guvernul este site-ul tău web, iar spionul este browserul utilizatorului. Browserul urmează instrucțiunile de pe site-ul dvs. și nu poate face diferența între scripturile bune și cele rele.

Aceste scripturi sunt de obicei în Javascript, unul dintre cele mai populare și utilizate limbaje de programare. Deși, aceste atacuri pot avea loc folosind orice limbaj de la partea clientului.

Acum există multe modalități de a efectua un atac XSS. O modalitate este de a trimite un link către utilizatorii nebănuiți pentru a-i determina să facă clic pe el. Odată ce fac clic pe el, atacul poate face una sau mai multe dintre următoarele:

  • Redirecționați utilizatorii către un site rău intenționat
  • Capturați apăsările de taste ale utilizatorului
  • Rulați exploit-uri bazate pe browser web
  • Furați informațiile cookie ale utilizatorului conectat la un cont

Dacă hackerul este capabil să fure informații despre cookie-uri, acesta poate compromite complet contul utilizatorului. De exemplu, dacă sunteți conectat la panoul wp-admin al site-ului dvs. web, hackerul vă poate fura acreditările și vă poate conecta la site.

Ceea ce trebuie să faceți pentru a preveni aceste atacuri este să vă asigurați că toate datele utilizatorilor sunt validate și igienizate corespunzător înainte de a intra pe site-ul dvs. În acest fel, nicio intrare de utilizator nu poate fi cod Javascript rău intenționat. În plus, trebuie să vă asigurați că nu există vulnerabilități XSS pe site-ul dvs. care să permită unui hacker să atace.

Abia am zgâriat suprafața atacurilor XSS, dar sperăm că aveți o înțelegere decentă a modului în care funcționează un atac WordPress XSS. Acum, dacă bănuiți că site-ul dvs. este piratat, urmați tutorialul nostru ușor, pas cu pas, de mai jos.

Cum să găsiți și să remediați un atac XSS în WordPress

Pentru a găsi orice fel de malware sau hack-uri pe site-ul dvs., va trebui să efectuați o scanare profundă a întregului site web, inclusiv fișierele și baza de date.

Vom folosi Sucuri pentru a scana și a curăța site-ul dvs. piratat. Sucuri vă oferă o configurație de securitate robustă, inclusiv un firewall, un scanner de malware și un dispozitiv de curățare a malware.

Sucuri oferă un scaner gratuit de programe malware pentru site-uri web pe care îl puteți instala în site-ul dvs. WordPress navigând la Plugins » Adăugați fila Nou .

Vă recomandăm să utilizați scanerul premium de pe partea de server. Acest lucru vă va transforma site-ul pe dos pentru a găsi orice urmă de malware.

În plus, iată câteva dintre punctele sale principale:

  • Monitorizează spam-ul și scripturile rău intenționate
  • Verifică ușile din spate ascunse create de hackeri
  • Detectează modificările aduse DNS (sistemul de nume de domeniu) și SSL
  • Verifică listele negre cu motoarele de căutare și alte autorități
  • Monitorizează timpul de funcționare a site-ului
  • Alerte instantanee prin e-mail, SMS, Slack și RSS

Pentru mai multe detalii, citiți recenzia noastră Sucuri.

Sucuri vine cu un preț de 199,99 USD pe an. Dacă acesta este în afara bugetului dvs., puteți încerca alte plugin-uri de securitate. Vedeți lista noastră: 9 cele mai bune pluginuri de securitate WordPress comparate.

Când selectați un plugin de securitate, asigurați-vă că vă oferă toate funcțiile de securitate cibernetică de care aveți nevoie pentru a găsi și a remedia infecțiile cu malware și pentru a vă proteja site-ul.

Pasul 1: Scanarea site-ului dvs. web

Pentru a începe, va trebui să vă înscrieți pentru un plan cu Sucuri. Apoi, conectați-vă la tabloul de bord Sucuri unde vă puteți adăuga site-ul.

Add site in Sucuri

Aici, va trebui să vă conectați site-ul web introducând acreditările dvs. FTP. Dacă nu vă cunoașteți acreditările FTP, le puteți obține de la gazda dvs. web.

Connect site to Sucuri

Când site-ul dvs. este conectat, Sucuri va efectua automat o scanare amănunțită a site-ului dvs. După ce ați terminat, vă va afișa un raport detaliat în fila „Site-urile mele” .

Sucuri dashboard site infected

Acum puteți face clic pe butonul „Detalii” de lângă mesajul de avertizare. Aceasta va deschide pagina Monitorizare unde puteți vizualiza detaliile hack-ului sau infecției.

Pasul 2: Solicitarea curățării programelor malware

Pe pagina Monitorizare , puteți vedea ce fel de malware v-a infectat site-ul. Sucuri adaugă un rating pentru a indica nivelul de risc. Deci, dacă este un risc critic sau ridicat, știți că trebuie să îl remediați imediat. În plus, vă va arăta și dacă site-ul dvs. a fost inclus pe lista neagră de către motoarele de căutare.

Clean up site with Sucuri

Acum că știți că site-ul dvs. este infectat, trebuie să îl curățați și Sucuri vă face acest lucru foarte ușor. Pentru a începe procesul, faceți clic pe butonul „Curățați site-ul meu” .

Malware removal request in Sucuri

Pe pagina următoare, faceți clic pe butonul New Malware Removal Request și va apărea un formular în care puteți introduce detaliile site-ului dvs.

Malware removal request form in Sucuri

Pur și simplu completați formularul și trimiteți-l. Odată terminat, experții în securitate de la Sucuri vă vor curăța site-ul pentru dvs. În cazul în care nu cunoașteți niciunul dintre detaliile de care aveți nevoie pentru formular, le puteți solicita gazdei dvs. web.

Acum s-ar putea să vă întrebați cât timp va dura să vă curățați site-ul.

Sucuri acordă prioritate utilizatorilor din planul de afaceri. Acestea asigură un timp de răspuns de 6 ore. Pentru alte planuri, depinde de cât de complexă este infecția site-ului tău și de volumul de solicitări pe care le au în coadă.

Imediat după un atac, vă recomandăm insistent să deconectați toți utilizatorii de pe site și să vă schimbați datele de conectare pentru a fi în siguranță.

Cum să preveniți atacurile XSS pe site-ul dvs. WordPress

Cel mai bine este întotdeauna să vă protejați site-ul web și să preveniți aceste tipuri de atacuri malware pe site-ul dvs. Este mult mai ușor și mai ieftin decât să încerci să repari un site web piratat. Iată pașii noștri de top recomandati pentru a preveni atacurile XSS pe site-ul dvs.

1. Activați un paravan de protecție pentru aplicații web (WAF)

Sucuri are unul dintre cele mai bune firewall-uri pentru site-urile WordPress. Nu numai că blochează atacurile XSS, ci și tot felul de alte atacuri malware, cum ar fi DDoS, Brute Force, Phishing și injecții SQL.

Firewall-ul va sta în fața site-ului dvs. și va scana fiecare utilizator care trece. Acesta va identifica și bloca roboții răi înainte ca aceștia să ajungă pe site-ul dvs.

Pentru a activa firewall-ul Sucuri, navigați la fila Firewall de pe tabloul de bord Sucuri.

Selectați site-ul dvs. și veți vedea instrucțiunile de configurare pe care le puteți urma. Sucuri vă oferă 2 opțiuni pentru a configura firewall-ul:

1. Integrare automată: Pur și simplu introduceți acreditările dvs. de găzduire folosind cPanel sau Plesk. Această metodă necesită să îi dai Sucuri acces la serverul site-ului tău web pentru a configura automat firewall-ul pe site-ul tău.

Sucuri firewall waf

2. Integrare manuală: Puteți configura firewall-ul pe cont propriu fără a acorda acces intern la Sucuri. Pentru a începe, faceți clic pe linkul de domeniu intern și asigurați-vă că se încarcă.

check internal domain link

Apoi, vă puteți configura DNS-ul pentru a vă direcționa traficul web către firewall-ul Sucuri. Pentru aceasta, va trebui să accesați înregistrările DNS din contul dvs. de găzduire. Aici, puteți schimba înregistrarea „A” a site-ului dvs. și puteți introduce adresele IP pe care Sucuri le furnizează.

sucuri dns ip addresses

Dacă ești stresat că acest lucru este prea complicat, poți cere ajutor gazdei tale web și ei te vor ghida prin proces. În plus, puteți ridica și un bilet de asistență cu Sucuri, iar echipa lor de asistență vă va ajuta să schimbați înregistrările DNS.

Pentru a deschide un bilet, veți găsi un link în interiorul instrucțiunilor manuale de pe aceeași pagină.

open a ticket sucuri

După ce ați terminat de configurat paravanul de protecție, de obicei durează câteva ore pentru ca modificările să se reflecte. Vă puteți aștepta la un timp de așteptare maxim de 48 de ore.

Când activați firewall-ul, acesta va adăuga automat anteturi de securitate pe site-ul dvs. pentru a-l proteja de atacurile XSS.

Dacă există o încercare de atac XSS, Sucuri o va bloca și ți-o va raporta în fila Rapoarte .

Acum, ceea ce ne place la firewall-ul Sucuri este că este atât de ușor de utilizat pentru oricine, inclusiv pentru începători. Nu trebuie să fii un expert în securitate cibernetică sau să cunoști vreo codificare.

Puteți activa tot felul de funcții de protecție cu doar un clic în fila Setări » Securitate .

Deci, de exemplu, puteți activa protecția DDoS și geoblocarea pentru a îngreuna atacarea site-ului de către hackeri.

Emergency ddos protection

Pentru a activa o funcție de securitate aici, tot ce trebuie să faceți este să bifați caseta și să vă salvați setările. Când trebuie să-l dezactivați, trebuie pur și simplu să debifați caseta.

În afară de aceasta, pluginul Sucuri va:

  • Scanați și monitorizați în mod regulat pentru spam și coduri rău intenționate
  • Vă avertizează cu privire la orice vulnerabilitate de scripting între site-uri
  • Blocați roboții și hackerii răi
  • Verificați dacă există liste negre cu motoarele de căutare și alte autorități
  • Monitorizați timpul de funcționare al site-ului
  • Detectați modificările aduse DNS (sistemul de nume de domeniu) și SSL
  • Trimiteți alerte de securitate instantanee prin e-mail, SMS, Slack și RSS

Astfel, site-ul dvs. va fi protejat în orice moment.

2. Folosiți formulare securizate

Pe un site web vulnerabil, formularele sunt una dintre cele mai comune ținte pentru hackeri. Dacă formularul dvs. nu este securizat, aceasta înseamnă că oricine poate introduce pur și simplu cod rău intenționat în câmpurile formularului.

Recomandarea noastră pentru securizarea formularelor site-ului dvs. este WPForms. Este generatorul de formulare WordPress numărul 1 care are securitate încorporată, astfel încât formularele dumneavoastră sunt protejate chiar de la început.

anti spam protection in WPForms

În mod implicit, formularele au protecție anti-spam activată. În plus, puteți chiar să adăugați CAPTCHA în formularele dvs. pentru a bloca roboții de spam.

Advanced noCaptcha and Invisible Captcha

Puteți activa un captcha invizibil sau tipul în care un utilizator va trebui să rezolve un mic puzzle sau să bifeze o casetă pentru a dovedi că este uman.

3. Setați permisiunile pentru rol de utilizator

Când aveți mai multe persoane care lucrează pe site-ul dvs. web, nu este înțelept să acordați tuturor acces de administrator. Este mai bine să le atribuiți roluri în funcție de permisiunile de care au nevoie.

WordPress vă permite să creați roluri pentru:

  • Super admin
  • Administrator
  • Editor
  • Autor
  • Colaborator
  • Abonat

Acum, dacă un hacker primește controlul asupra contului unui utilizator, acesta va fi limitat în ceea ce poate face pe site-ul tău.

4. Deconectarea automată a utilizatorilor inactivi

Hackerii pot obține acces la conturile de utilizator deturnându-și sesiunile de browser și furând cookie-uri.

Puteți minimiza acest risc prin deconectarea utilizatorilor WordPress inactivi.

Multe pluginuri de securitate au o funcție de deconectare a sesiunii inactive sau puteți utiliza pluginul Deconectare inactivă.

5. Actualizați-vă site-ul în mod regulat

Pluginurile, temele și chiar și instalarea dvs. WordPress primesc actualizări în mod regulat. Le veți vedea în tabloul de bord WordPress când sunt disponibile:

updates in wordpress

Mulți proprietari de site-uri web ignoră actualizările pentru o lungă perioadă de timp, dar acest lucru vă poate expune site-ul web la hackeri. Actualizările includ de obicei remedieri de erori, funcții noi și îmbunătățiri ale software-ului. De asemenea, pot avea patch-uri de securitate. Puteți vedea dacă o actualizare conține o corecție de securitate, vizualizând detaliile actualizării.

view version details of update

Aceasta înseamnă că a fost găsită o vulnerabilitate în software-ul pe care hackerii îl pot folosi pentru a vă ataca site-ul. Când dezvoltatorii găsesc probleme de securitate, le corectează și lansează o nouă versiune a software-ului.

Tot ce trebuie să faceți este să actualizați software-ul de pe site-ul dvs.

Deci, dacă vedeți că este un patch de securitate, actualizați-l imediat pentru a evita orice risc de a fi piratat.

security update

Unul dintre principalele motive pentru care proprietarii de site-uri ignoră actualizările este că uneori vă pot distruge site-ul sau pot cauza probleme de incompatibilitate. Vă recomandăm să testați actualizarea pe un site de pregătire și apoi să o executați pe site-ul dvs. live.

Cu asta, ați învățat cum să remediați și să preveniți atacurile XSS pe site-ul dvs. WordPress.

Înainte de a încheia, vă vom oferi încă un sfat de securitate. Faceți întotdeauna copii de rezervă regulate ale site-ului dvs.

Chiar și cu cele mai puternice măsuri de securitate pe site-ul dvs., există multe lucruri care pot merge prost. De exemplu, un utilizator poate face o simplă eroare umană care vă blochează site-ul.

Puteți configura copii de rezervă automate folosind un plugin de rezervă precum UpdraftPlus. Pentru mai multe opțiuni, consultați lista noastră de top pluginuri de backup WordPress.

Întrebări frecvente

1. Este WordPress vulnerabil la atacurile de scripting între site-uri?

Software-ul de bază WordPress este dezvoltat și întreținut de unii dintre cei mai buni experți din lume. Software-ul lor este destul de solid, dar rețineți că niciun software nu este lipsit de vulnerabilități.

Motivul pentru care site-urile WordPress sunt atacate adesea este că platforma este atât de populară. Și majoritatea utilizatorilor instalează tone de teme și pluginuri terțe. Vulnerabilitățile se pot dezvolta în oricare dintre aceste elemente, iar hackerii le pot exploata pentru a vă sparge site-ul.

2. Există diferite tipuri de atacuri cu scripturi încrucișate?

Da. Există 3 tipuri principale de atacuri XSS:

  • XSS stocat (cunoscut și ca XSS persistent): atacatorii își stochează sarcina utilă pe un server compromis, determinând site-ul web să livreze cod rău intenționat altor vizitatori.
  • XSS reflectat: sarcina utilă este stocată în datele trimise de la browser către server.
  • DOM XSS: Aici, serverul în sine nu este cel vulnerabil la XSS, ci mai degrabă JavaScript de pe pagină este.
  • Self cross-site scripting: atacatorii pot exploata o vulnerabilitate care necesită un context cu adevărat specific și modificări manuale. Victima de aici nu poți fi decât tu însuți.
  • Blind cross-site scripting: în aceste atacuri, vulnerabilitatea se află de obicei pe o pagină pe care doar utilizatorii autorizați o pot accesa. Atacatorul nu poate vedea rezultatul unui atac.

3. Cum mă asigur că nu există alte probleme de securitate pe site-ul meu?

Asigurați-vă că aveți întotdeauna un plugin de securitate instalat pe site-ul dvs. Aceasta este o necesitate pentru toate tipurile de site-uri web, inclusiv WooCommerce, bloguri și site-uri de afaceri mici. Vă recomandăm Sucuri, dar puteți verifica și Wordfence, MalCare și SiteLock. Vedeți mai multe dintre recomandările noastre de top aici: 9 cele mai bune pluginuri de securitate WordPress comparate.

Asta este tot ce avem pentru tine astăzi. Sperăm că această postare v-a oferit tot ce aveți nevoie pentru a vă securiza site-ul.

Pentru mai multe despre securitatea site-ului web, consultați resursele noastre pe:

  • Ghidul complet de securitate WordPress (prietenos pentru începători)
  • 5 cele mai bune scanere de vulnerabilitate WordPress pentru a găsi amenințări
  • 9 cele mai bune pluginuri de jurnal de activități pentru a urmări și audita site-ul dvs. WordPress

Aceste postări vă vor oferi mai multe modalități de a sigila vulnerabilitățile și de a vă proteja site-ul web de toate riscurile.