Como evitar scripts entre sites?
· Время на чтение: 8mínimo · por · Publicados · AtualizadaVocê está preocupado com ataques cross-site em seu site? O fato é que os ataques de script entre sites são muito comuns. E é bem possível que seu site seja mais cedo ou mais tarde atacado por cross-site scripting.
Nesse tipo de ataque, os hackers usam o navegador do visitante para atacar seu site. Depois de obter acesso ao seu site, eles podem roubar dados confidenciais, armazenar arquivos e pastas ilegais, redirecionar seus visitantes para outros sites maliciosos, manipular resultados de pesquisa com palavras-chave de spam, lançar ataques contra outros sites, entre outras coisas. Essas atividades maliciosas podem destruir seu site.
O ataque desacelerará seu site e afetará a classificação do seu site nos mecanismos de pesquisa. Você experimentará uma queda no tráfego e, eventualmente, sua renda sofrerá.
Os eventos podem aumentar e os usuários verão avisos à frente, como um site enganoso, este site pode ser invadido em seu site nos resultados de pesquisa, o Google pode colocar seu site na lista negra e seu provedor de hospedagem pode suspender seu site.
Mas não se preocupe, você pode evitar tudo isso em seu site seguindo algumas etapas simples para evitar scripts entre sites. Neste artigo, ajudarei você a tomar as medidas corretas para proteger seu site contra ataques de script entre sites.
O conteúdo do artigo:
- O que é um ataque de script entre sites (XSS)?
- Quais são os tipos de ataques XSS ou cross site scripting?
- Medidas para prevenir cross-site scripting
O que é um ataque de script entre sites (XSS)?
Em um ataque de script entre sites, um hacker invade um site se passando por um visitante. A melhor maneira de entender esse tipo de ataque é rastrear as etapas que um hacker executa para realizar um ataque.
- A maioria dos sites tem campos de entrada (como um formulário de contato, formulário de registro ou seção de comentários) que permitem aos visitantes inserir dados no site.
- Esses campos são ativados pelo plug-in. Via de regra, os plugins garantem que os dados inseridos nos campos não sejam maliciosos, como um trecho de código. Mas se os plugins desenvolverem uma vulnerabilidade XSS, eles podem permitir que o visitante insira dados maliciosos ou não confiáveis.
Por exemplo, um plug-in de comentário vulnerável permite que os visitantes insiram links maliciosos.
- Quando você clica em um link, um código malicioso ou javascript malicioso é ativado e é solicitada permissão para acessar os cookies do seu navegador.
- Parece que seu site está solicitando que você execute uma determinada função. É muito provável que você caia nesse truque e permita o acesso aos cookies do seu navegador.
Ao permitir o acesso aos cookies do seu navegador, você está expondo informações confidenciais ao hacker.
- Os cookies do navegador armazenam todos os tipos de informações, incluindo suas credenciais de login. Ao obter acesso às suas credenciais de login, um hacker pode se passar por você e entrar no seu site.
Quais são os tipos de ataques XSS ou cross site scripting?
Existem dois tipos de ataques de script entre sites. Esse:
- Ataque XSS armazenado (ou persistente). O alvo deste ataque é um visitante do site.
- Ataque XSS refletido (ou não persistente). O alvo desse tipo de ataque é um site.
Os ataques de script entre sites ocorrem devido a plug-ins vulneráveis. Os hackers rastreiam a Internet procurando um site usando plug-ins vulneráveis, como plug-ins de formulário ou comentário. Esses plug-ins geralmente causam problemas de validação de entrada do usuário. Assim que descobrem um site usando um plug-in vulnerável, eles começam a atacar.
Eventualmente, os hackers obtêm acesso aos cookies do navegador da vítima, que armazenam informações importantes, como credenciais de login do site, credenciais de e-banking, Facebook e credenciais de e-mail, entre outras.
Se o objetivo principal do hacker for invadir seu site, ele extrairá as credenciais de login do site. Isso é chamado de ataque XSS refletido. Mas se um hacker tiver como alvo usuários ou visitantes do site, eles extrairão credenciais de e-banking, Facebook e Gmail. Isso é chamado de ataque XSS armazenado ou ataque XSS persistente.
Agora que você entende cross site scripting e suas várias formas, vamos dar uma olhada em como proteger seu site desse tipo de invasão.
Medidas para prevenir cross-site scripting
Sites WordPress são criados usando plugins e temas. A maioria dos sites possui um plug-in de entrada que inclui um formulário de contato ou seção de comentários que permite aos visitantes inserir dados.
Muitos plug-ins de entrada desenvolvem vulnerabilidades XSS ao longo do tempo. Conforme discutimos anteriormente, os hackers podem usar vulnerabilidades para lançar ataques entre sites em seu site. Como o plug-in é uma parte importante do site, você não pode simplesmente removê-lo. O que você pode fazer é tomar medidas para evitar ataques XSS em seu site.
Vou mostrar 5 medidas que você precisa implementar em seu site para evitar vulnerabilidades xss e proteger contra ataques XSS.
- Instale o plug-in de segurança
- Instale o plug-in de prevenção de vulnerabilidade XSS
- Revise os comentários antes de publicá-los
- Atualize seus plug-ins
- Use plugins de mercados conhecidos
1. Instale o plug-in de segurança
Um bom plug-in de segurança protegerá seu site com um firewall WordPress e permitirá que você implemente medidas de segurança do site.
O plug-in de firewall do WordPress examina o tráfego de entrada e evita que tráfego ruim chegue ao seu site. Os visitantes (incluindo hackers) acessam seu site a partir de dispositivos como um smartphone ou laptop. Cada dispositivo está associado a um código exclusivo chamado endereço IP. O firewall verifica a Internet em busca de endereços IP incorretos. Os endereços IP que foram associados a atividades maliciosas no passado não podem acessar seu site. Dessa forma, os hackers que tentam acessar seu site para implementar um ataque XSS são bloqueados desde o início.
Fortalecimento do local
Esses plugins têm muitas medidas para fortalecer a segurança do WordPress, e uma delas é alterar as chaves de segurança. Sabemos que em um ataque XSS de script entre sites, os hackers tentam roubar os cookies do navegador do usuário que contêm as credenciais do usuário. No entanto, o WordPress armazena essas credenciais de forma criptografada. Ele adiciona chaves de segurança à sua senha, dificultando a descriptografia.
Use plug-ins como:
- Tudo em um WP Segurança.
- Malcare.
- Wordfence segurança.
Se os hackers souberem quais são as chaves, eles poderão obter sua senha de login. É por isso que os pesquisadores de segurança de aplicativos da web recomendam alterar as chaves do WordPress a cada dois anos ou a cada trimestre.
2. Instale o plug-in de prevenção de vulnerabilidade XSS
Depois de instalar um plug-in de segurança confiável, recomendo instalar o plug-in Evitar vulnerabilidade XSS para definir parâmetros comumente encontrados em ataques XSS.
Por exemplo, um link malicioso incorporado que os hackers podem deixar na seção de comentários pode usar caracteres como pontos de exclamação, parênteses abertos etc. Ao bloquear essas opções, o plug-in ajudará a evitar ataques de script entre sites em seu site WordPress.
No entanto, este plugin só pode fornecer proteção limitada contra XSS. O firewall desempenha um papel crítico na prevenção e detecção de ataques XSS em um estágio inicial. É por isso que primeiro recomendo usar este plug-in, além do plug-in de segurança.
3. Aprove manualmente os comentários antes de serem publicados
Em ataques de script entre sites, os hackers deixam links maliciosos na seção de comentários na esperança de que alguém clique no link.
É melhor ler os comentários antes de publicá-los em seu site. O próprio sistema de comentários do WordPress, bem como plugins de comentários populares como JetPack, Thrive Comments, Disqus, etc. permitem que você revise manualmente os comentários antes de aceitá-los e publicá-los.
No entanto, identificar links maliciosos não é fácil. Os hackers deixam comentários genuínos com links disfarçados de reais. Mesmo ao examinar um link, se você clicar acidentalmente nele, pode iniciar um ataque de hacker.
Muitos proprietários de sites preferem usar plugins de comentários em vez do próprio sistema de comentários do WordPress. Isso ocorre porque os plug-ins de comentários são melhores para lidar com spam. Mas, como mencionei, os plug-ins desenvolvem vulnerabilidades com o tempo e isso pode abrir seu site para ataques de hackers.
Para manter seu plugin de comentários e corrigir quaisquer vulnerabilidades de segurança de conteúdo, aconselho você a atualizar seus plugins.
4. Atualize seus plug-ins
Quando os desenvolvedores de plug-ins descobrem vulnerabilidades XSS em seu software, eles rapidamente as corrigem e lançam um patch de segurança. Este patch vem como uma atualização.
Assim que você atualizar o plug-in em seu site, a vulnerabilidade XSS será corrigida. Mas se as atualizações atrasarem, seu site se tornará vulnerável a scripts entre sites ou ataques XSS.
Isso ocorre porque, após o lançamento de um patch de segurança, as informações sobre a vulnerabilidade tornam-se públicas. Isso significa que os hackers sabem que existe uma vulnerabilidade na versão antiga do plug-in. Os hackers rastreiam a Internet com bots e ferramentas para encontrar sites do WordPress que usam uma versão de plug-in específica que é vulnerável.
Se você atrasar a atualização, seu site se tornará alvo de hackers. Eles podem explorar uma vulnerabilidade de script entre sites e invadir seu site. Portanto, como regra geral, mantenha sempre seu site atualizado.
5. Compre plug-ins de mercados confiáveis
Se você estiver usando plugins gratuitos como Jetpack e Disqus, é melhor baixá-los do repositório oficial do WordPress. Se você for usar plug-ins premium como Thrive Comment ou WpDevArt, compre-os em seu site oficial ou em mercados confiáveis como Code Canyon, ThemeForest, Evanto, etc.
Mercados confiáveis oferecem plug-ins de alta qualidade que reduzem a chance de vulnerabilidades de script entre sites.
Atualmente, existem muitos sites que oferecem versões piratas gratuitas de plugins premium. A maioria desses plug-ins piratas vem pré-instalada com malware. Instalá-los em seu site é como abrir portas para hackers. Além disso, os plugins piratas não recebem atualizações, o que significa que as vulnerabilidades que ocorrem nos plugins permanecem, deixando seu site vulnerável a um ataque de hackers.
Evite usar plugins piratas de fontes não confiáveis. Use apenas plug-ins de mercados confiáveis ou do repositório do WordPress.
Com isso, cheguei ao fim da prevenção de scripts entre sites em seu site WordPress. Tenho certeza de que, se você tomar essas medidas, seu site estará protegido contra ataques de cross site scripting.
Finalmente
Proteger seu site WordPress contra ataques de script entre sites é um passo na direção certa quando se trata de segurança do site.
No entanto, cross-site scripting é apenas um dos tipos comuns de ataques de hackers (como ataques de injeção SQL) em sites WordPress. Os hackers têm muitos truques na manga. É melhor implementar uma solução de segurança abrangente em seu site para evitar ataques de script entre sites junto com todos os outros tipos de ataques do WordPress.
Lendo este artigo:
- Autenticação de dois fatores do WordPress: seu site será seguro?
- Como proteger seu site WordPress com WP-Config?
Obrigado por ler: AJUDANTE DE SEO | NICOLA.TOP