Урок 34. Защита от XSS атак

защита от xss вордпресс

Серия статей «Мой блог - моя крепость!». Статья 4 из 6.

Привет!

Этот урок - один из важнейших во всей серии статей. Так, как XSS атаки очень - очень распространенный вид атак (сори за тавтологию 🙂 ). Немного теории: в каждом движке есть дыры в безопасности. Где-то их больше, где-то их меньше. Зависит это от многих факторов. Во-первых, от самого движка, точнее от внимательности его разработчиков. В наше время существуют приблизительная статистика дыр в безопасности. С ее помощью Вы и можете увидеть, какие движки менее уязвимы, а какие очень уязвимы. WordPress, к счастью, один из менее уязвимых движков, разработчики, находя дыры в безопасности, сразу же делают «заплатки» на них, и сразу обновляют движок. Поэтому всегда обновляйте движок и плагины! (за исключением некоторых плагинов, которые при обновлении начинают работать не так, как надо. Мы с подобными уже сталкивались в уроке про вставку видео\аудио. Во-вторых, количество дыр в безопасности зависит от того, где Вы скачали движок. Если с сайта разработчика, то отлично, если с какого-либо другого сайта (сейчас стали популярны сборки движка, чуть ли не каждый второй сайт делает свою сборку), там ответственность полностью лежит на Вас. Возможно владельцы сайта специально сделали только им известные дыры в движке, что бы воспользоваться ими в будущем. Поэтому я всегда рекомендую своим читателям - скачивайте только чистую версию с сайта разработчика!

Вот такой получился большой анонс, зато теперь у Вас есть теоретические знания, которые, надеюсь, Вы будете использовать во благо себе и своим читателям.

А как пользуются  найденными дырами в системе, спросите Вы. Да очень просто! Вставляют код (скрипт), который выполняет различные функции, в зависимости от дыры. Это может быть простое всплывающее окошко на блоге с текстом «Вас взломали!», либо удаление некоторых статей. Но это все ничего по сравнению с тем, что код так же может и передать злоумышленнику доступ в панель управления, а Вас оттуда выгнать.

Как с этим бороться? Помните, в одном из предыдущих уроков, мы настраивали мониторинг файлов, которые следят за изменениями в коде. Если кто-то подгрузит код, Вы сразу об этом узнаете. Но согласитесь, лучше запретить подгрузку вообще! Для этого разработчики выпустили плагин, который просто обязан установить каждый веб мастер!

Плагин называется Anti XSS Attack.

Скачиваем его здесь. Активируем. Все! Никаких настроек не нужно! Он уже принялся защищать Ваш блог.

Теперь, если будет выполнен запрос с чужих сайтов на Ваш, то появится ссылка, человек может по ней перейти, тем самым подтверждая, что он не робот и не скрипт. А вот как раз скрипт и робот застрянут на странице с ссылкой, так и не перейдя по ней. (они этого не умеют).

На этом все, до скорых встреч!

Полезные статьи Вам на почту!

Нас более 700 человек!

Комментарии

Лариса
0

А он работает с новой версией wp?А , то на сайте автора упомянуто что плагин не актуален выше версии 2,5?

03.10.2012
Sly
0

нет нет, все прекрасно работает с wp вплоть до 3.4.2. Скорее информация на сайте разработчика не обновлялась

04.10.2012
Лариса
0

Спасибо, пошла устанавливать.

04.10.2012

Оставить комментарий

Поделиться