Trang web của bạn có trở nên chậm chạp và lưu lượng truy cập của bạn giảm không có lý do? Trang web của bạn có hiển thị quảng cáo không mong muốn không? Bạn có thấy cửa sổ bật lên mà bạn không chèn không? Có thể bạn cần bảo vệ X-XSS trong WordPress.
Đây có thể là kết quả của một cuộc tấn công XSS trên trang web WordPress của bạn. Những cuộc tấn công này khá phổ biến nhưng chúng có tác động tàn khốc.
Chi tiết CVE đã ghi nhận 9.903 cuộc tấn công XSS lớn kể từ năm 2009. Nhưng không có thông tin cho biết có bao nhiêu cuộc tấn công trong số này đã không được báo cáo.
Tin tặc sử dụng khai thác XSS để ăn cắp dữ liệu, hiển thị quảng cáo của riêng họ (thường là ma túy bất hợp pháp hoặc nội dung người lớn), lừa đảo khách hàng của bạn, trong số một danh sách dài các hoạt động độc hại.
Nhưng bạn có thể ngừng lo lắng vì có nhiều cách để dễ dàng bảo vệ trang web của bạn khỏi XSS. Hôm nay, chúng ta cùng xem cách thêm tiêu đề bảo vệ X-XSS trong WordPress vì nó sẽ chặn mạnh mẽ mọi nỗ lực XSS.
Bạn sẽ tìm hiểu những tiêu đề phản hồi này là gì và cách triển khai chúng. Đăng điều đó, chúng tôi cũng sẽ cung cấp cho bạn một số mẹo bảo mật WordPress khác để làm cho trang web WordPress của bạn vững chắc trước XSS và bất kỳ cuộc tấn công nào khác!
TL; DR: Bảo vệ trang web WordPress của bạn khỏi các cuộc tấn công XSS và bất kỳ dạng phần mềm độc hại nào khác bằng Giải pháp bảo mật MalCare Tất cả trong một của chúng tôi. Cài đặt plugin trên trang web WordPress của bạn và yên tâm rằng trang web của bạn được theo dõi và quét thường xuyên để bảo vệ nó khỏi bất kỳ cuộc tấn công nguy hiểm nào.
XSS (Cross-Site Scripting) trong WordPress là gì?
Cross-site scripting (XSS) là một loại tấn công tiêm kích trong đó tin tặc khai thác các lỗ hổng bảo mật bắt nguồn từ đầu vào của người dùng trên một trang web. Đầu vào của người dùng có thể là bất kỳ khu vực nào chấp nhận dữ liệu từ người dùng trang web, chẳng hạn như thanh tìm kiếm trang web, phần nhận xét, biểu mẫu liên hệ hoặc trường đăng nhập.
Chúng tận dụng loại thông tin mà người dùng có thể nhập vào các trường này theo nhiều cách khác nhau. Vì vậy, có nhiều kiểu tấn công theo kịch bản chéo khác nhau. Ở đây, chúng tôi sẽ trình bày chi tiết hai trong số các cuộc tấn công XSS phổ biến nhất:
Tấn công XSS được lưu trữ hoặc liên tục
Loại tấn công này nhắm vào những người truy cập trang web. Hãy xem điều này xảy ra như thế nào.
Giả sử exampleite.com chấp nhận đầu vào của người dùng trên trang web của họ dưới dạng nhận xét về các bài đăng trên blog. Khách truy cập có thể chia sẻ suy nghĩ của họ và đặt câu hỏi bằng cách để lại nhận xét trên bài đăng. Sau khi nhận xét được gửi, nó sẽ được gửi đến cơ sở dữ liệu và được lưu trữ.
Thông thường, trường nhận xét này phải có cấu hình để xác thực dữ liệu trước khi nó được gửi đến cơ sở dữ liệu.
Nhưng nếu cấu hình không chính xác, nó sẽ không thể phân biệt giữa nhận xét văn bản thông thường và một dòng mã.
Vì vậy, giả sử một tin tặc đã tìm ra phần nhận xét của trang web này chấp nhận bất kỳ đầu vào nào. Họ có thể nhập mã JavaScript nhưng đầu ra sẽ giống như một nhận xét thông thường.
Điều mà chủ sở hữu trang web có thể không nhận thấy là tin tặc cũng có thể nhập vào nút “Nhấp vào tôi”, điều này lý tưởng là không được phép.
Tiếp theo, một khách truy cập thường xuyên (mục tiêu) của trang web sẽ đến trang này. Nếu người dùng này nhấp vào nút, mã độc sẽ chạy và lây nhiễm sang trình duyệt của khách truy cập. Sau đó, tin tặc sẽ có thể trích xuất dữ liệu từ cookie trình duyệt của khách truy cập.
Cookie lưu trữ tất cả các loại thông tin như thông tin xác thực đăng nhập được lưu trữ, thông tin thẻ tín dụng hoặc dữ liệu cá nhân. Khi đăng nhập vào một trang web, bạn sẽ thấy một cửa sổ bật lên như vậy, hỏi bạn có muốn trình duyệt ghi nhớ mật khẩu:
Giờ đây, một người dùng thông thường (mục tiêu) thường có nhiều tab mở trên một trình duyệt như Facebook, email, trang web mua sắm, trang web cơ quan, YouTube, v.v. Nếu một tin tặc có thể thực hiện một cuộc tấn công XSS, họ sẽ đánh cắp cookie của tất cả các trang web mở trên trình duyệt. Đây là lý do tại sao nó được gọi là 'cross-site'. Họ sử dụng thông tin này để lừa đảo khách hàng hoặc thực hiện các cuộc tấn công lớn hơn.
Mặc dù cuộc tấn công này không ảnh hưởng trực tiếp đến trang web của bạn, nhưng nó có những hậu quả nghiêm trọng. Nó khiến mọi khách truy cập của bạn gặp nguy hiểm. Ngoài ra, Google sẽ nhanh chóng đưa trang web của bạn vào danh sách đen và máy chủ web của bạn sẽ tạm ngưng tài khoản lưu trữ của bạn.
Tấn công XSS phản chiếu hoặc không liên tục
Trong cuộc tấn công này, tin tặc nhắm mục tiêu vào chính trang web để giành quyền truy cập. Hãy cho bạn biết cách hoạt động của điều này:
Giả sử trang web của bạn có tab tìm kiếm nơi khách hàng có thể nhanh chóng tìm thấy những gì họ muốn. Tab này lý tưởng nên chỉ chấp nhận các chữ cái trong bảng chữ cái. Nhưng nó chưa được định cấu hình chính xác và nó cũng chấp nhận các ký tự và số đặc biệt. Công cụ tìm kiếm của trang web sẽ không thể phân biệt giữa đầu vào văn bản từ người dùng và nhập mã độc hại của tin tặc.
Sau khi được chèn, mã độc hại sẽ di chuyển đến cơ sở dữ liệu của trang web và được thực thi. Khi điều đó xảy ra, tin tặc có quyền truy cập vào trang web và có thể bắt đầu thực hiện các hành vi độc hại của chúng! Tệ hơn nữa, họ có thể sử dụng trang web của bạn để khởi động các cuộc tấn công hack lớn hơn như tấn công DDoS.
Bây giờ chúng ta biết mức độ nghiêm trọng của một cuộc tấn công XSS và lý do tại sao chúng ta cần bảo vệ các trang web của mình khỏi nó. Vì vậy, hãy đi sâu vào lý do tại sao tiêu đề bảo mật HTTP ngăn chặn các cuộc tấn công XSS.
Tiêu đề bảo mật HTTP là gì?
HTTP là viết tắt của giao thức truyền siêu văn bản và xác định cách thức thông điệp được định dạng và truyền qua internet.
Các trình duyệt web hiện đại như Google Chrome hoặc Mozilla Firefox có tiêu đề phản hồi HTTP được mã hóa trong đó. Các tiêu đề bảo mật HTTP này thường bao gồm siêu dữ liệu - chẳng hạn như mã lỗi trạng thái, mã hóa nội dung, bảo mật nội dung và kiểm soát bộ nhớ cache.
Tiêu đề phản hồi hướng dẫn trình duyệt về cách nó sẽ hoạt động khi nó tương tác với một trang web. Ví dụ:một người dùng mở Google Chrome và truy cập một trang web, tiêu đề HTTP ở đây đóng một vai trò trong việc xác định cách trình duyệt, trang web và máy chủ web của nó giao tiếp.
Chúng tôi sẽ giải thích một tiêu đề phản hồi HTTP như vậy để giúp bạn hiểu rõ hơn về điều này.
Nếu bạn đã thiết lập chứng chỉ SSL hoặc TLS trên trang web của mình, điều đó có nghĩa là trang web của bạn chỉ có thể truy cập được qua HTTPS (là một kết nối an toàn mã hóa dữ liệu khi nó đang được truyền). Nhưng tin tặc có thể tìm cách truy cập trang web của bạn qua HTTP. Có một số tập lệnh có sẵn trên internet mà tin tặc có thể sử dụng để mở trang web của bạn qua HTTP và lấy cắp dữ liệu.
Để củng cố chứng chỉ SSL của bạn và đảm bảo trang web của bạn không bao giờ bị truy cập qua HTTP, bạn có thể thêm tiêu đề phản hồi được gọi là 'bảo mật truyền tải nghiêm ngặt'. Điều này sẽ buộc tất cả các trình duyệt mới nhất như Safari, Chrome và Firefox chỉ giao tiếp với trang web của bạn qua HTTPS. Điều này giúp loại bỏ khả năng dò tìm nội dung và dò tìm gói.
Nếu kẻ tấn công cố gắng mở trang web của bạn qua HTTP, trình duyệt sẽ không tải trang.
Có các tiêu đề bảo mật HTTP khác nhau mà bạn có thể thêm vào trang web WordPress của mình. Hôm nay, chúng tôi đang tập trung vào Bảo vệ X-XSS sẽ giảm thiểu / ngăn chặn tập lệnh trên nhiều trang web.
Cách Thiết lập Bảo vệ X-XSS trong Tiêu đề Bảo mật HTTP
Để thiết lập Tiêu đề bảo mật HTTP, bạn cần truy cập và chỉnh sửa tệp .htaccess và thêm các dòng mã. Việc thay đổi các tệp WordPress bất cứ lúc nào cũng có rủi ro cao. Một sơ suất nhỏ có thể dẫn đến một trang web bị hỏng hoàn toàn.
Do đó, chúng tôi thực sự khuyên bạn nên thực hiện một bản sao lưu hoàn chỉnh của trang web WordPress của bạn. Bạn có thể sử dụng plugin BlogVault để sao lưu toàn bộ trang web của mình sau vài phút. Nếu có bất kỳ sự cố nào xảy ra trong quá trình này, bạn có thể nhanh chóng khôi phục trang web của mình trở lại bình thường.
Sao lưu trang web WordPress của bạn trước khi thay đổi các tệp WordPress. Bạn có thể nhận được một bản sao lưu đáng tin cậy với BlogVault. Nhấp để TweetBước 1:Quét trang web của bạn để kiểm tra xem tiêu đề có tồn tại hay không
Chúng tôi khuyên bạn nên kiểm tra xem trang web của bạn đã bật tiêu đề chưa. Bạn có thể kiểm tra bằng máy chủ lưu trữ WordPress được quản lý của mình hoặc sử dụng một trang web như securityheaders.com.
Nhập URL của trang web của bạn và quét ngay bây giờ. Bạn sẽ thấy một báo cáo như sau:
Chúng tôi có thể chắc chắn rằng không có bộ tiêu đề bảo vệ X-XSS nào.
Lưu ý:Hầu hết các trình duyệt đều được bật tính năng bảo vệ X-XSS theo mặc định. Nhưng việc thêm tiêu đề bảo mật này vào WordPress sẽ hướng dẫn trình duyệt chặn các nỗ lực hack XSS.
Bước 2:Truy cập tệp .htaccess WordPress của bạn
Đăng nhập vào tài khoản lưu trữ WordPress của bạn. Tại đây, hãy truy cập cPanel> File Manager.
Bên trong, bạn sẽ tìm thấy danh sách các thư mục. Trên bảng điều khiển bên phải, tìm public_html thư mục. Bạn sẽ tìm thấy tệp .htaccess ở đây.
Mẹo:Trong trường hợp bạn không thể thấy tệp .htaccess, hãy chuyển đến cài đặt và chọn “hiển thị tệp ẩn”.
Bước 3:Chèn tiêu đề bảo mật WordPress
Để chỉnh sửa tệp này, chỉ cần nhấp chuột phải vào tệp và bạn sẽ thấy tùy chọn chỉnh sửa tệp.
Thêm dòng mã sau vào cuối tệp .htaccess của bạn:
Bộ tiêu đề X-XSS-Protection “1; mode =block ”
Lưu tệp.
Bước 4:Kiểm tra xem tiêu đề phản hồi HTTP có hoạt động không
Chúng tôi khuyên bạn nên truy cập tiêu đề bảo mật để quét trang web của bạn để kiểm tra xem tiêu đề có hoạt động hay không.
Và đó là nó. Bạn đã thêm thành công một lớp bảo mật vào trang web của mình bằng cách triển khai tiêu đề bảo mật để chặn các cuộc tấn công XSS.
Tôi dễ dàng thiết lập các tiêu đề bảo mật trên trang web WordPress của mình để chặn các cuộc tấn công X-XSS bằng cách sử dụng hướng dẫn này từ MalCare. Nhấp để TweetKết luận:Bảo vệ chống lại mọi cuộc tấn công
Sau khi triển khai tiêu đề bảo mật WordPress này, chúng tôi tin rằng trang web của bạn hiện an toàn trước các cuộc tấn công XSS. Nhưng XSS không phải là lỗ hổng duy nhất đáng lo ngại. Trang web của bạn nằm trong lĩnh vực kỹ thuật số, nơi có rất nhiều rủi ro như tấn công và lây nhiễm phần mềm độc hại.
Bạn cần thực hiện nhiều biện pháp bảo mật để chặn các nỗ lực hack và giữ cho trang web của bạn được bảo vệ. Cài đặt MalCare để được bảo vệ toàn diện cho trang web WordPress của bạn. Nó sẽ quét và giám sát trang web của bạn thường xuyên. Nó cũng cung cấp một bức tường lửa sẽ chặn các địa chỉ IP độc hại. Với MalCare được cài đặt, bạn có thể yên tâm rằng trang web của bạn được bảo mật. Bạn có thể xem hướng dẫn của chúng tôi về cách bảo mật trang web WordPress của mình.
Bảo vệ trang web WordPress của bạn với MalCare !