WordPress’te HTTP X-XSS güvenlik üstbilgisini nasıl ayarlarım?

Web siteniz yavaşlıyor mu ve trafiğiniz sebepsiz mi düşüyor? Web siteniz istenmeyen reklamlar gösteriyor mu? Girmediğin pop-up’ları görüyor musunuz? Belki WordPress’te X-XSS korumasına ihtiyacınız var. Bu, WordPress sitenizdeki XSS saldırılarının sonucu olabilir. Bu saldırılar oldukça yaygındır, ancak yıkıcı bir etkisi vardır. CVE detayları 2009’dan bu yana 9.903 ana XSS saldırısı kaydediyor. Ancak kimse bu saldırıların kaçının rapor edilmediğini bilmiyor. Bilgisayar korsanları, verileri çalmak, kendi reklamlarını (genellikle yasadışı uyuşturucu veya yetişkin içeriği içeren) görüntülemek, müşterilerinizi kötü faaliyetlerin uzun listeleri arasında aldatmak için XSS sömürüsünü kullanır.
Ancak endişelenmeyi durdurabilirsiniz, çünkü web sitenizi XSS’den kolayca korumanın yolları vardır. Bugün, WordPress’e X-XSS koruma başlıklarının nasıl ekleneceğini görüyoruz çünkü her XSS çabasını zorla engelleyecekler. Başlık yanıtının ne olduğunu ve nasıl uygulanacağını öğreneceksiniz. Bu gönderi, WordPress web sitenizi XSS ve diğer saldırılara karşı sağlam bir şekilde oluşturmak için size daha fazla WordPress güvenlik ipuçları vereceğiz! TL; WordPress sitenizi Malcare hepsi bir arada güvenlik çözümümüzle XSS saldırılarından ve diğer tüm kötü amaçlı yazılım biçimlerinden koruyun. WordPress sitenize eklentileri yükleyin ve sitenizin tehlikeli saldırılardan korumak için düzenli olarak izlendiğinden ve tarandığından emin olun.
Doldurma gizle
WordPress’te XSS (siteler arası komut dosyası) nedir?
HTTP Güvenlik Başlığı nedir?
HTTP Güvenlik Başlığı’ndaki X-XSS koruması nasıl ayarlanır
Sonuç: Tüm saldırıların korunması
WordPress’te XSS (siteler arası komut dosyası) nedir? Siteler arası komut dosyası (XSS), bilgisayar korsanlarının web sitesindeki kullanıcı girişinden kaynaklanan güvenlik açığından yararlandığı bir tür enjeksiyon saldırısıdır. Kullanıcı girişleri, site arama bıçakları, yorumlar bölümü, iletişim formları veya giriş alanları gibi web sitesi kullanıcılarından veri alan herhangi bir alan olabilir. Kullanıcıların bu alana girebileceği bilgi türlerini çeşitli şekillerde kullanırlar. Yani, çeşitli çapraz kayma saldırıları vardır. Burada, en yaygın iki XSS saldırısını belirleyeceğiz: XSS saldırıları depolanıyor veya web sitesi ziyaretçilerini hedefleyen saldırı türü. Bunun nasıl gerçekleştiğini görelim. Örnekler.com’un web sitelerinde kullanıcı girişini blog yayınlarıyla ilgili yorumlar şeklinde aldığını varsayalım. Ziyaretçiler, yayında yorum bırakarak düşüncelerini paylaşabilir ve soru sorabilirler. Yorumlar gönderildikten sonra veritabanına gönderilir ve saklanır. Genellikle, bu yorum sütunundaki veritabanına gönderilmeden önce verileri doğrulamak için bir yapılandırmaya sahip olmalıdır. Ancak yapılandırma doğru değilse, sıradan metin yorumları ve kod satırları arasında ayrım yapamaz.
Öyleyse, bilgisayar korsanlarının bu sitenin yorum bölümünün herhangi bir girdi aldığını zaten bildiğini varsayalım. JavaScript kodunu girebilirler, ancak sonuçlar sıradan yorumlara benzeyecektir.
Web sitesi sahibi tarafından dikkate alınmayacak olan şey, bilgisayar korsanlarının da izin verilmemesi gereken “Beni tıklayın” düğmesine girebilmesidir. Ayrıca, web sitesinin daimi ziyaretçisi (hedef) bu sayfaya indi. Bu kullanıcı düğmeyi tıklarsa, tehlikeli kod çalıştırılır ve ziyaretçinin tarayıcısına bulaşır. Bilgisayar korsanları daha sonra ziyaretçi tarayıcı çerezlerinden veri çıkarabilir. Çerez, depolanmış giriş bilgileri, kredi kartı bilgileri veya kişisel veriler gibi her türlü bilgiyi depolar. Web sitesine girdiğinizde, böyle pop-up’ları göreceksiniz, bir tarayıcının sandalet kelimesini hatırlamasını isteyip istemediğinizi sorun:

Şimdi sıradan kullanıcılar (hedefler) genellikle Facebook, e -posta, alışveriş siteleri, iş web siteleri, YouTube vb. Hackerlar XSS saldırıları yapabilirse, tarayıcıdaki tüm açık sitelerden çerezler çalacaktır. Bu yüzden ‘çapraz yer’ denir. Bu bilgileri müşterileri aldatmak veya daha büyük saldırılar yapmak için kullanırlar.
Bu saldırı web sitenizi doğrudan etkilemese de, ciddi bir etkisi vardır. Bu, ziyaretçilerinizin her birini tehlikeye atar. Ayrıca, Google sitenizi hızlı bir şekilde siyah listeye girecek ve web ana bilgisayarınız barındırma hesabınızı askıya alacaktır. XSS saldırıları bu saldırıda yansıtıcı veya kalıcı değildir, bilgisayar korsanları erişmek için web sitesini hedefler. Nasıl çalıştığını gösterelim: Web sitenizin müşterilerin istediklerini hızlı bir şekilde bulabileceği bir arama sekmesi olduğunu söyleyin. Bu sekme ideal olarak yalnızca alfabe harfleri alır. Ancak bu doğru yapılandırılmamış ve özel karakterler ve sayılar da almıştır. Site arama motoru, kullanıcının metin girişi ile tehlikeli kodun girdisi arasında hacker tarafından ayrım yapamayacaktır. Girildikten sonra, tehlikeli kod web sitesi veritabanına çalışır ve yürütülür. Bu olduğunda, bilgisayar korsanları web sitesine erişir ve kötü eylemlerini gerçekleştirmeye başlayabilir! Daha da kötüsü, DDOS saldırıları gibi daha büyük hack saldırıları başlatmak için web sitenizi kullanabilirler. Artık XSS saldırılarının ne kadar şiddetli olduğunu ve web sitemizi neden ondan korumamız gerektiğini biliyoruz. Öyleyse HTTP’nin güvenlik başlığının neden XSS saldırılarını önlediğine bakalım. HTTP Güvenlik Başlığı nedir? HTTP, hipermetin aktarım protokolünün kısaltmasıdır ve mesajların İnternet üzerinden nasıl biçimlendirildiğini ve iletildiğini tanımlar.

Google Chrome veya Mozilla Firefox gibi modern web tarayıcılarında, içinde kodlanmış bir HTTP yanıt başlığı vardır. Bu güvenli HTTP başlığı genellikle durum hatası kodu, içerik kodlaması, içerik güvenliği ve önbellek kontrolü gibi meta verilerden oluşur. Başlık yanıtı, bir tarayıcıya web siteleriyle etkileşimde bulunurken nasıl hareket edeceğiniz konusunda talimat verir. Örneğin, kullanıcılar Google Chrome’u açar ve web sitelerini ziyaret eder, HTTP başlıkları burada tarayıcıların, web sitelerinin ve web sunucularının nasıl iletişim kurduğunu belirlemede rol oynarlar. Bunu daha iyi anlamanıza yardımcı olacak bir HTTP yanıt başlığını açıklayacağız.
Web sitenizde bir SSL veya TLS sertifikası hazırladıysanız, bu, web sitenize yalnızca HTTPS (aktarılırken verileri şifreleyen güvenli bir bağlantıdır) aracılığıyla erişilebileceği anlamına gelir. Ancak bilgisayar korsanları, sitenize HTTP üzerinden erişmenin yollarını bulabilir. İnternette, bilgisayar korsanlarının sitenizi HTTP aracılığıyla açmak ve veri çalmak için kullanabileceği birkaç komut dosyası vardır. SSL sertifikasını güçlendirmek ve sitenize asla HTTP aracılığıyla erişilmediğinden emin olmak için ‘Sıkı Taşıma Güvenliği’ adlı bir başlık ekleyebilirsiniz. Bu, Safari, Chrome ve Firefox gibi en son tarayıcıların web sitenizle yalnızca HTTPS aracılığıyla iletişim kurmaya zorlayacaktır. Bu, içeriği koklama ve paketleri koklama olasılığını ortadan kaldırır.
Saldırgan sitenizi HTTP üzerinden açmaya çalışırsa, tarayıcı sayfayı yüklemez. WordPress sitenize ekleyebileceğiniz çeşitli HTTP güvenlik başlıkları vardır. Bugün, siteler arası komut dosyalarını azaltacak/önleyecek X-XSS’nin korunmasına odaklanıyoruz. HTTP Güvenlik Başlığı’ndaki X-XSS koruması nasıl ayarlanır HTTP Güvenlik Başlığı’nı ayarlamak için .htaccess dosyasına erişip düzenlemeniz ve kod satırını eklemeniz gerekir. WordPress dosyalarını herhangi bir zamanda değiştirmek yüksek risk getirir. Biraz yanlış adım, tamamen hasar gören web sitesine neden olabilir. Bu nedenle, WordPress sitenizden eksiksiz yedekler almanızı şiddetle tavsiye ederiz. BlogVault eklentisini birkaç dakikadan daha kısa bir sürede web sitenizin tam yedeğini almak için kullanabilirsiniz. Bu işlem sırasında yanlış bir şey varsa, web sitenizi hızlı bir şekilde normale geri getirebilirsiniz. WordPress dosyasını değiştirmeden önce WordPress web sitenizi yedeklemenizi alın. BlogVault ile güvenilir yedekler alabilirsiniz. Tweet için tıklayın
Adım 1: Bir başlık olup olmadığını kontrol etmek için web sitenizi tarayın. Yönetilen WordPress ana bilgisayarınızla görüşebilir veya SecurityHeads.com gibi web sitelerini kullanabilirsiniz. Web Sitesi URL’nizi girin ve şimdi tarayın. Bunun gibi raporlar göreceksiniz:

X-XSS koruma başlık seti olmadığından emin olabiliriz. Not: Çoğu tarayıcı varsayılan olarak etkinleştirilen X-XSS korumasına sahiptir. Ancak bu güvenlik üstbilgisini WordPress’e eklemek, tarayıcıya XSS hackleme çabalarını engellemesini bildirecektir. Adım 2: .htaccess WordPress dosyanıza erişin WordPress barındırma hesabınıza gidin. Burada, CPanel> File.di Manager’da bir klasör listesi bulacaksınız. Sağ panelde public_html klasörünü arayın. .Htaccess dosyasını burada bulacaksınız.
İpucu: .htaccess dosyasını göremiyorsanız, ayarları açın ve “Gizli Dosyaları Göster” i seçin. Adım 3: Bu dosyayı düzenlemek için WordPress Güvenlik Üstbilgisini girin, üzerine sağ tıklayın ve düzenleme seçeneğini göreceksiniz.
.Htaccess dosyanızın sonuna aşağıdaki kod satırını ekleyin: X-XSS-Protection “başlığını ayarlayın” 1; mode = blok “Dosyayı kaydedin. Adım 4: HTTP yanıt başlığını çalıştırıp çalışmadığını kontrol edin, başlayıcının çalışıp çalışmadığını kontrol etmek için sitenizi taramak için SecurityHeaders’ı ziyaret etmelisiniz. Ve hepsi bu. XSS saldırılarını engellemek için güvenlik başlıkları uygulayarak web sitenize bir güvenlik katmanı eklemeyi başardınız.
Malcare’den bu kılavuzu kullanarak X-XSS saldırılarını engellemek için WordPress sitemde kolayca bir güvenlik başlığı ayarladım. Tweet için tıklayın

admin

WordPress vs. Drupal – 2021’de hangisi daha iyi?(Lehte ve aleyhte olanlar)

WordPress vs. Drupal – 2021’de hangisi daha iyi?(Lehte ve aleyhte olanlar)

WordPress etki alanınızı nasıl değiştirirsiniz (SEO avantajlarını korumak)

WordPress etki alanınızı nasıl değiştirirsiniz (SEO avantajlarını korumak)

WordPress içeriğinin erozyonu (kavga mı yoksa görmezden geliyor mu?)

WordPress içeriğinin erozyonu (kavga mı yoksa görmezden geliyor mu?)

Wix vs WordPress: Hangisini bir web sitesi oluşturmayı seçmelisiniz?

Wix vs WordPress: Hangisini bir web sitesi oluşturmayı seçmelisiniz?

WordPress Performans Sorunlarına Bağlı Şeylerin Kontrol Listesi

WordPress Performans Sorunlarına Bağlı Şeylerin Kontrol Listesi

Popüler konuları tartışmak için 9 En İyi WordPress Forum eklentisi

Popüler konuları tartışmak için 9 En İyi WordPress Forum eklentisi

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir