Ir para o conteúdo principal

Ataques XSS: como proteger seu site WordPress

Os temas WordPress mais populares do mundo

O tema WordPress mais popular do mundo

Divi leva o WordPress a um nível totalmente novo com sua tecnologia incrivelmente avançada de construção visual. Você nunca construiu um site WordPress como este antes. [800.000 downloads]

Há mais 27 milhões de sites WordPress ativos. Embora seja superior fazer parte de uma vizinhança tão grande e enérgica, o reconhecimento do Content Management System (CMS) também o torna uma meta de primeira linha para ataques de Cross-Site Scripting (XSS).

Felizmente, o simples fato de os hackers darem atenção ao WordPress não significa que suas tentativas de violação estão destinadas ao sucesso. Ao utilizar os instrumentos e estratégias adequadas, você possivelmente pode fortalecer seu site contra ataques XSS.

Nesta publicação, vamos nos concentrar no que é XSS e por que o WordPress é excepcionalmente fraco para esses tipos de intrusões. Em seguida, vamos compartilhar 4 métodos que você pode implementar para ajudar a proteger seu site contra eles. Vamos começar!

Uma introdução aos ataques XSS

An Ataque XSS acontece quando um hacker explora uma vulnerabilidade em seu site e tenta injetar código JavaScript não autorizado. O script malicioso é então executado no lado do cliente no navegador ou é salvo e executado no servidor.

Os ataques XSS às vezes são projetados para coletar conhecimento de seus convidados, uma reminiscência de suas senhas ou informações de taxas. No entanto, as agressões também podem alterar a aparência ou os recursos do seu site. Por exemplo, os cibercriminosos podem redirecionar seus clientes para um site totalmente diferente.

Esse tipo de redirecionamento pode fazer com que seus visitantes despencem, porque o hacker rouba cem pc de seus convidados. O redirecionamento também pode ser uma plataforma de lançamento para ataques adicionais. Por exemplo, um redirecionamento nefasto pode levar seus visitantes a um site fraudulento.

Alguns atores perigosos podem até mesmo imitar seu site, em uma tentativa de enganar seus clientes para que compartilhem informações privadas e detalhes de taxas. Isso pode ser notavelmente desastroso para sua reputação.

Os ataques XSS são uma enorme desvantagem para muitos CMSs totalmente diferentes. No entanto, o WordPress é excepcionalmente fraco como resultado de muitos sites na plataforma usam plug-ins. Essas extensões adicionam código ao seu site, o que pode introduzir vulnerabilidades XSS que os hackers podem explorar. Em seu relatório de 2021, WP White Security encontrou quase 4,000 vulnerabilidades conhecidas do plugin WordPress, junto com aqueles que podem levar a ataques XSS lucrativos.

Com tantas lacunas para aproveitar, talvez não seja surpreendente que o Wordfence tenha reconhecido 330 milhões de tentativas de ataques XSS em 2020. Com os cibercriminosos fazendo ativamente uma tentativa de aproveitar os pontos fracos reconhecidos e desconhecidos, é vital fazer todas as peças possíveis para proteja seu site.

Como proteger seu site WordPress contra ataques XSS (4 sugestões principais)

O XSS também pode ser uma das estratégias vitais e difundidas que os hackers usam para se infiltrar em sites, no entanto, existem métodos para reforce a segurança do seu site. Vamos dar uma olhada em 4 estratégias que você pode implementar neste momento.

1. Mantenha-se atualizado sobre as vulnerabilidades mais recentes

Ao monitorar constantemente seus temas e plug-ins em busca de fraquezas reconhecidas, você pode maximizar suas probabilidades de descobrir problemas antecipadamente. Então, é possível que você tome medidas para lidar com essas brechas de segurança antes que os hackers tenham a oportunidade de tirar vantagem delas.

WPScan mantém um Banco de Dados de Vulnerabilidade de vulnerabilidades reconhecidas de núcleo, tema e plug-in do WordPress. Além disso, lançou um Plugin WPScan que permite que você verifique todos os seus plug-ins em busca de perigos reconhecidos:

A tela do plugin WPScan WordPress.

No entanto, quando você é um ManageWP comprador, você nem quer um plugin separado. Colaboramos com o WPScan para mostrar todo o seu conhecimento instantaneamente dentro do painel ManageWP.

Crie facilmente seu site com Elementor

O Elementor facilita a criação de qualquer design de site com uma aparência profissional. Pare de pagar muito dinheiro pelo que você mesmo pode fazer. [ DOWNLOAD GRÁTIS ]

Atualizações de vulnerabilidade mostra uma notificação ao lado de quaisquer plug-ins que tenham vulnerabilidades reconhecidas. Isso torna mais fácil determinar os pontos que podem atualmente colocar seu site em perigo:

O painel de vulnerabilidade ManageWP.

Se você descobrir uma vulnerabilidade, a resolução mais segura é desativar e, em seguida, excluir o plug-in na consulta. No entanto, isso pode não ser possível se a extensão fornecer uma característica importante ao seu site.

Nesse caso, você possivelmente pode testar para ver se o desenvolvedor lançou ou não um patch, pois um criador responsável deve estar ansioso para reparar quaisquer pontos de segurança. Se uma substituição estiver acessível, resolver o ponto fraco também pode ser tão simples quanto clicar em Atualize agora:

A opção de atualizar um plugin do WordPress para sua versão mais recente.

No entanto, geralmente você pode ter que continuar utilizando um programa de software não seguro, uma reminiscência de quando o desenvolvedor ainda precisa fazer um patch. Até que você possa configurar para substituir e fechar a vulnerabilidade, é sensato ficar ainda mais atento para quaisquer indicadores de que seu site está abaixo do ataque. Isso pode incorporar monitorando seu site para tempo de inatividade, ansioso por um queda no desempenhoe incluindo o recurso ManageWP Security Check ao seu site para que você seja notificado sobre quaisquer pontos instantaneamente.

2. Use um firewall de aplicativo da Web (WAF)

Um Web Application Firewall (WAF) filtra solicitações maliciosas, juntamente com ataques XSS, antes que eles tenham a oportunidade de ter sucesso em seu site. Existem vários WAFs que você deve utilizar com o WordPress. Sucuri WAF é uma possibilidade bem aceita:

O site WAF da Sucuri.

Depois de adquirir um plano WAF da Sucuri, faça login em sua conta e clique em Proteja meu site agora. Você pode inserir o título da área que você precisa proteger e especificar se precisa ou não colocar algum diretório na lista de permissões.

Os hackers são reconhecidos por intencionalmente atacar elementos fracos de sites da Internet, que lembram diretórios de administração. Ao proibir o acesso a essas áreas delicadas, você pode reduzir ainda mais as chances de sofrer uma queda para um ataque XSS lucrativo.

Depois de entrar em sua área, você terá que rolar para a página da web geral do painel. Lá, você descobrirá as informações de DNS da Sucuri. Seu trabalho subsequente é alterar o endereço de IP no relatório A do seu site para que ele seja relacionado ao firewall da Sucuri.

Às vezes, você fará esse ajuste fazendo login no registrador de sua área ou Servidor de Nome de Domínio (DNS) conta do fornecedor. Esta etapa será diferente dependendo de como sua conta está pronta. Se não tiver certeza sobre as dicas de como fazer a mudança, você pode testar a documentação do fornecedor ou do registrador para obter informações adicionais.

As modificações de DNS podem levar até 48 horas para se propagar, de modo que você pode querer comparecer para que essa substituição volte a ter impacto. Você pode confirmar se o seu DNS foi propagado visitando whatsmydns.net.

3. Adicione um cabeçalho de segurança HTTP

Cada vez que alguém visita seu site, o servidor reage com Cabeçalhos de resposta HTTP. Esses cabeçalhos informam aos navegadores da Internet dicas sobre como agir em todas as suas interações com o seu site, lembrando ao gerenciar o cache.

Você ajudará a proteger seu site contra ataques XSS utilizando o Cabeçalho X-XSS-Protection. Com este cabeçalho no lugar, seu site irá impedir que a página seja carregada quando um ataque XSS for detectado, o que pode proteger seu site contra certas classes de violações XSS.

Você adiciona este cabeçalho de segurança ao seu site .htaccess , que é um arquivo de configuração que informa ao servidor dicas sobre como lidar com solicitações variadas. Depois de se conectar ao seu site utilizando o seu Cliente de protocolo de transferência de arquivos (FTP), abra o .htaccess arquivo e adicione o próximo:

Cabeçalho definido X-XSS-Protection "1; modo = bloquear"

Quando você é executado, ele pode salvar suas modificações e fechar o arquivo. Agora, seu site irá impedir que a página seja carregada toda vez que acreditar que um ataque XSS está em andamento.

4. Adicionar um cabeçalho de Política de Segurança de Conteúdo (CSP)

Uma Política de Segurança de Conteúdo (CSP) ajudará a mitigar ataques XSS especificando quais fontes (scripts, tipos, imagens e muitos outros.) Têm permissão para carregar. De lista de permissões de fontes autorizadas, você possivelmente pode interromper o carregamento de material de conteúdo malicioso dos navegadores.

Infelizmente, não existe uma estratégia única para todos os CSPs. Você vai querer julgar as fontes que está realmente carregando e pensar em dicas sobre como lidar com elas com sucesso. Então você possivelmente pode criar uma cobertura baseada principalmente em suas necessidades específicas.

Ao cultivar um CSP, você usará default-src para especificar a cobertura usual para carregar material de conteúdo que lembra imagens, fontes, mídia e solicitações AJAX. Você também pode delinear fontes JavaScript profissionais utilizando script-src, fontes de imagens profissionais utilizando img-src, e fontes de folhas de estilo genuínas utilizando style-src.

Abaixo está um exemplo de como a definição de um suprimento legítimo de imagens parece ser:

img-src 'self' img.instance.com;

Para obter informações adicionais sobre como estabelecer um cabeçalho CSP, você pode tentar o Guia de Referência Rápida.

Depois de criar seu CSP, a etapa seguinte é adicioná-lo ao seu functions.php filete. No painel do WordPress, navegue até Aparência> Editor de tema:

O arquivo functions.php do WordPress visualizado no Editor de temas.

Para o adequado da tela de exibição, escolha o features.php arquivo e adicione seu cabeçalho CSP. Quando você for executado, clique em Atualizar o Arquivo.

Conclusão

XSS é um ataque padrão que tem o potencial de destruir sua reputação como um site confiável e preocupado com a segurança. A excelente notícia é que existem métodos para proteger cada um dos seus sites e seus visitantes de qualquer violação de conhecimento.

Você está procurando os melhores temas e plug-ins do WordPress?

Baixe os melhores plug-ins e temas do WordPress do Envato e construa facilmente o seu site. Já são mais de 49,720,000 downloads. [RECOMENDADO]

Vamos recapitular 4 etapas sensatas que podem reduzir enormemente suas probabilidades de sofrer uma queda a um ataque XSS:

  1. Mantenha-se atualizado em as últimas vulnerabilidades.
  2. Use um firewall que lembra Sucuri WAF.
  3. Adicione um cabeçalho de segurança HTTP, incluindo o código em seu .htaccess arquivo.
  4. Adicione um cabeçalho CSP aprimorando seu features.php arquivo.

Você pode ter alguma dúvida sobre como defender seu site contra ataques XSS? Pergunte na parte de feedback abaixo!

Pontuação de crédito da imagem: Unsplash.

Este item é 0 Postar comentários

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

De volta ao topo