Comment empêcher le cross-site scripting ?

imprimer · Время на чтение: 8мин · par · Publié · Mis à jour

jouerÉcoutez cet article

Comment mettre en place la prévention du cross site scripting ?Êtes-vous inquiet des attaques intersites sur votre site ? Le fait est que les attaques de script intersite sont très courantes. Et il est fort possible que votre site soit tôt ou tard attaqué par du cross-site scripting.

Dans ce type d'attaque, les pirates utilisent le navigateur du visiteur pour attaquer votre site. Une fois qu'ils ont accès à votre site Web, ils peuvent voler des données sensibles, stocker des fichiers et des dossiers illégaux, rediriger vos visiteurs vers d'autres sites malveillants, manipuler les résultats de recherche avec des mots-clés de spam, lancer des attaques contre d'autres sites Web, entre autres. De telles activités malveillantes peuvent détruire votre site Web.

L'attaque ralentira votre site et affectera le classement de votre site dans les moteurs de recherche. Vous subirez une baisse de trafic et vos revenus finiront par en souffrir.

Les événements peuvent faire boule de neige et les utilisateurs verront des avertissements tels qu'un site trompeur, ce site peut être piraté sur votre site Web dans les résultats de recherche, Google peut mettre votre site sur liste noire et votre fournisseur d'hébergement peut être suspendu de votre site.

Mais ne vous inquiétez pas, vous pouvez empêcher tout cela sur votre site Web en prenant quelques mesures simples pour empêcher les scripts intersites. Dans cet article, je vais vous aider à prendre les bonnes mesures pour protéger votre site Web contre les attaques de script intersite.

Le contenu de l'article :

Qu'est-ce qu'une attaque de script intersite (XSS) ?

Dans une attaque de script intersite, un pirate s'introduit dans un site Web en se faisant passer pour un visiteur. La meilleure façon de comprendre ce type d'attaque est de retracer les étapes suivies par un pirate informatique pour mener à bien une attaque.

  • La plupart des sites Web ont des champs de saisie (tels qu'un formulaire de contact, un formulaire d'inscription ou une section de commentaires) qui permettent aux visiteurs de saisir des données sur le site Web.
  • Ces champs sont activés par le plugin. En règle générale, les plugins s'assurent que les données insérées dans les champs ne sont pas malveillantes, comme un extrait de code. Mais si les plugins développent une vulnérabilité XSS, ils peuvent permettre au visiteur de saisir des données malveillantes ou non fiables.

Par exemple, un plugin de commentaire vulnérable permet aux visiteurs d'insérer des liens malveillants.

  • Lorsque vous cliquez sur un lien, un code malveillant ou un javascript malveillant est activé et il vous est demandé l'autorisation d'accéder aux cookies de votre navigateur.
  • Il semble que votre site Web vous demande d'exécuter une certaine fonction. Il est fort probable que vous tombiez dans le piège de cette astuce et que vous autorisiez l'accès aux cookies de votre navigateur.

En autorisant l'accès aux cookies de votre navigateur, vous exposez des informations sensibles au pirate.

  • Les cookies du navigateur stockent toutes sortes d'informations, y compris vos identifiants de connexion. En accédant à vos identifiants de connexion, un pirate peut se faire passer pour vous et accéder à votre site.

cookies du navigateur chrome

Quels sont les types d'attaques XSS ou cross site scripting ?

Il existe deux types d'attaques de script intersite. Cette:

  • Attaque XSS stockée (ou persistante). La cible de cette attaque est un visiteur du site Web.
  • Attaque XSS réfléchie (ou non persistante). La cible de ce type d'attaque est un site Web.

Les attaques de script intersite se produisent en raison de plugins vulnérables. Les pirates explorent Internet à la recherche d'un site Web à l'aide de plug-ins vulnérables tels que des plug-ins de formulaire ou de commentaire. Ces plugins causent généralement des problèmes de validation des entrées utilisateur. Dès qu'ils découvrent un site Web utilisant un plugin vulnérable, ils commencent à attaquer.

Finalement, les pirates accèdent aux cookies du navigateur de la victime, qui stockent des informations importantes telles que les identifiants de connexion au site Web, les identifiants de banque en ligne, Facebook et les identifiants de messagerie, entre autres.

Si l'objectif principal du pirate est de s'introduire dans votre site, il extraira les identifiants de connexion du site. C'est ce qu'on appelle l'attaque XSS réfléchie. Mais si un pirate cible des utilisateurs ou des visiteurs du site, il extraira les informations d'identification des services bancaires en ligne, Facebook et Gmail. C'est ce qu'on appelle une attaque XSS stockée ou une attaque XSS persistante.

Maintenant que vous comprenez le cross site scripting et ses différentes formes, voyons comment protéger votre site Web de ce type de piratage.

Mesures pour empêcher le cross-site scripting

Les sites WordPress sont créés à l'aide de plugins et de thèmes. La plupart des sites ont un plugin d'entrée qui comprend un formulaire de contact ou une section de commentaires qui permet aux visiteurs d'insérer des données.

De nombreux plugins d'entrée développent des vulnérabilités XSS au fil du temps. Comme nous l'avons vu précédemment, les pirates peuvent utiliser des vulnérabilités pour lancer des attaques intersites sur votre site. Étant donné que le plugin est une partie importante du site Web, vous ne pouvez pas simplement le supprimer. Ce que vous pouvez faire, c'est prendre des mesures pour empêcher les attaques XSS sur votre site.

Je vais vous montrer 5 mesures que vous devez mettre en œuvre sur votre site pour prévenir les vulnérabilités xss et vous protéger contre les attaques XSS.

  1. Installer le plugin de sécurité
  2. Installez le plugin Prevent XSS Vulnerability
  3. Examinez les commentaires avant de les publier
  4. Mettez à jour vos plugins
  5. Utilisez des plugins de places de marché bien connues

1. Installez le plugin de sécurité

Un bon plugin de sécurité protégera votre site avec un pare-feu WordPress et vous permettra de mettre en place des mesures de sécurité du site.

Le plugin de pare-feu WordPress examine le trafic entrant et empêche le mauvais trafic d'atteindre votre site. Les visiteurs (y compris les pirates) accèdent à votre site à partir d'appareils tels qu'un smartphone ou un ordinateur portable. Chaque appareil est associé à un code unique appelé adresse IP. Le pare-feu analyse Internet à la recherche d'adresses IP incorrectes. Les adresses IP qui ont été associées à des activités malveillantes dans le passé ne peuvent pas accéder à votre site Web. De cette façon, les pirates essayant d'accéder à votre site pour mettre en œuvre une attaque XSS sont bloqués dès le départ.

Renforcement du site

Ces plugins ont de nombreuses mesures pour renforcer la sécurité de WordPress, et l'une d'entre elles modifie les clés de sécurité. Nous savons que lors d'une attaque XSS par script intersite, les pirates essaient de voler les cookies du navigateur de l'utilisateur qui contiennent les informations d'identification de l'utilisateur. Cependant, WordPress stocke ces informations d'identification sous forme cryptée. Il ajoute des clés de sécurité à votre mot de passe, ce qui le rend difficile à déchiffrer.

Utilisez des plugins tels que :

  • Tout en un WP Security.
  • Malcare.
  • Sécurité Wordfence.

modifications-malveillantes-clés-de-sécurité

Si les pirates savent quelles sont les clés, ils peuvent obtenir votre mot de passe de connexion. C'est pourquoi les chercheurs en sécurité des applications Web recommandent de changer les clés WordPress tous les deux ans ou tous les trimestres.

2. Installez le plug-in de prévention des vulnérabilités XSS

Après avoir installé un plugin de sécurité de confiance, je recommande d'installer le plugin Empêcher la vulnérabilité XSS  pour définir les paramètres couramment rencontrés dans les attaques XSS.

xss-vulnerability-prevention-plugin

Par exemple, un lien malveillant intégré que les pirates pourraient laisser dans la section des commentaires pourrait utiliser des caractères tels que des points d'exclamation, des parenthèses ouvertes, etc. En bloquant ces options, le plugin aidera à prévenir les attaques de script intersite sur votre site WordPress.

Cependant, ce plugin ne peut fournir qu'une protection limitée contre XSS. Le pare-feu joue un rôle essentiel dans la prévention et la détection précoce des attaques XSS. C'est pourquoi je recommande d'abord d'utiliser ce plugin en plus du plugin de sécurité.

3. Approuver manuellement les commentaires avant qu'ils ne soient publiés

Dans les attaques de script intersite, les pirates laissent des liens malveillants dans la section des commentaires dans l'espoir que quelqu'un clique sur le lien.

Il est préférable de lire les commentaires avant de les publier sur votre site Web. Le propre système de commentaires de WordPress ainsi que les plugins de commentaires populaires comme JetPack, Thrive Comments, Disqus, etc. vous permettent de réviser manuellement les commentaires avant de les accepter et de les publier.

commentaire de spam - confirmation manuelle

Cependant, identifier les liens malveillants n'est pas facile. Les pirates laissent de vrais commentaires avec des liens déguisés en vrais. Même lors de l'examen d'un lien, si vous cliquez accidentellement dessus, il peut déclencher une attaque de pirate.

De nombreux propriétaires de sites préfèrent utiliser des plugins de commentaires plutôt que le propre système de commentaires de WordPress. En effet, les plugins de commentaires sont plus efficaces pour gérer le spam. Mais, comme je l'ai mentionné, les plugins développent des vulnérabilités au fil du temps, ce qui peut ouvrir votre site aux attaques de pirates.

Afin de maintenir votre plugin de commentaire et de corriger les éventuelles failles de sécurité du contenu, je vous conseille de mettre à jour vos plugins.

4. Mettez à jour vos plugins

Lorsque les développeurs de plugins découvrent des vulnérabilités XSS dans leur logiciel, ils les corrigent rapidement et publient un correctif de sécurité. Ce patch est une mise à jour.

Dès que vous mettrez à jour le plugin sur votre site, la vulnérabilité XSS sera corrigée. Mais si les mises à jour sont retardées, votre site devient vulnérable aux scripts intersites ou aux attaques XSS.

En effet, après la publication d'un correctif de sécurité, les informations sur la vulnérabilité deviennent publiques. Cela signifie que les pirates savent qu'il existe une vulnérabilité dans l'ancienne version du plugin. Les pirates explorent Internet avec des robots et des outils pour trouver des sites Web WordPress qui utilisent une version de plugin spécifique qui est vulnérable.

Si vous retardez la mise à jour, votre site deviendra une cible de piratage. Ils peuvent alors exploiter une vulnérabilité de script intersite et pirater votre site. Donc, en règle générale, gardez toujours votre site à jour.

5. Achetez des plugins sur des marchés de confiance

Si vous utilisez des plugins gratuits comme Jetpack et Disqus, il est préférable de les télécharger à partir du référentiel WordPress officiel. Si vous envisagez d'utiliser des plugins premium tels que Thrive Comment ou WpDevArt, achetez-les sur leur site Web officiel ou sur des marchés de confiance tels que Code Canyon, ThemeForest, Evanto, etc.

Les places de marché fiables proposent des plugins de haute qualité qui réduisent le risque de vulnérabilités de script intersite.

De nos jours, de nombreux sites Web proposent des versions piratées gratuites de plugins premium. La plupart de ces plugins piratés sont préinstallés avec des logiciels malveillants. Les installer sur votre site, c'est comme ouvrir des portes aux pirates. De plus, les plugins piratés ne reçoivent pas de mises à jour, ce qui signifie que les vulnérabilités qui se produisent dans les plugins demeurent, laissant votre site vulnérable à une attaque de pirate.

Évitez d'utiliser des plugins piratés provenant de sources non fiables. Utilisez uniquement des plugins provenant de marchés de confiance ou du référentiel WordPress.

Avec cela, j'ai fini d'empêcher les scripts intersites sur votre site Web WordPress. Je suis sûr que si vous prenez ces mesures, votre site sera protégé contre les attaques de cross site scripting.

Pour terminer

Protéger votre site WordPress contre les attaques de script intersite est un pas dans la bonne direction en matière de sécurité de site Web.

Cependant, les scripts intersites ne sont qu'un des types courants d'attaques de pirates (telles que les attaques par injection SQL) sur les sites WordPress. Les hackers ont beaucoup de tours dans leur sac. Il est préférable de mettre en œuvre une solution de sécurité complète sur votre site Web pour empêcher les attaques de script intersite ainsi que tous les autres types d'attaques WordPress.

Lire cet article :

Merci d'avoir lu : SEO HELPER | NICOLA.TOP

À quel point ce message vous a-t-il été utile ?

Cliquez sur une étoile pour la noter !

Note moyenne 5 / 5. Décompte des voix : 419

Aucun vote pour l'instant ! Soyez le premier à noter ce post.

Vous aimerez aussi...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

2 × 5 =