WordPress で X-XSS HTTP セキュリティ ヘッダーを設定する方法

ウェブサイトが遅くなり、理由もなくトラフィックが減少しましたか? Web サイトに不要な広告が表示されていませんか?挿入していないポップアップが表示されていますか? WordPress で X-XSS 保護が必要な場合があります。

これは、WordPress サイトに対する XSS 攻撃の結果である可能性があります。これらの攻撃は非常に一般的ですが、壊滅的な影響があります。

CVE Details は、2009 年以来 9,903 件の主要な XSS 攻撃を記録しています。

ハッカーは XSS エクスプロイトを使用して、データを盗んだり、独自の広告 (通常は違法薬物やアダルト コンテンツの広告) を表示したり、悪意のある活動の長いリストの中で顧客を騙したりします.

しかし、Web サイトを XSS から簡単に保護する方法があるため、心配する必要はありません。今日は、WordPress に X-XSS 保護ヘッダーを追加する方法を見ていきます。 XSS の試行を強制的にブロックするためです。

これらの応答ヘッダーとは何か、およびそれらを実装する方法を学びます。それを投稿して、WordPress Web サイトを XSS やその他の攻撃に対して強固にするための WordPress セキュリティのヒントをいくつか紹介します!

TL;DR: オールインワンの MalCare セキュリティ ソリューションを使用して、WordPress Web サイトを XSS 攻撃やその他の形式のマルウェアから保護します。 WordPress ウェブサイトにプラグインをインストールすると、悪意のある攻撃からサイトを保護するために、サイトが定期的に監視およびスキャンされます。

WordPress の XSS (クロスサイト スクリプティング) とは?

クロスサイト スクリプティング (XSS) は、ハッカーが Web サイトでのユーザー入力に起因するセキュリティの脆弱性を悪用するタイプのインジェクション攻撃です。ユーザー入力は、サイト検索バー、コメント セクション、連絡フォーム、ログイン フィールドなど、ウェブサイト ユーザーからのデータを受け入れる任意の領域である可能性があります。

それらは、ユーザーがこれらのフィールドに入力できる情報をさまざまな方法で利用します。このように、クロススクリプティング攻撃にはさまざまな種類があります。ここでは、最も一般的な 2 つの XSS 攻撃について詳しく説明します。

保存または永続的な XSS 攻撃

このタイプの攻撃は、Web サイトの訪問者を対象としています。これがどのように起こるか見てみましょう。

examplesite.com が、ブログ投稿へのコメントの形で Web サイトでユーザー入力を受け入れると仮定しましょう。訪問者は、投稿にコメントを残すことで、考えを共有したり、質問したりできます。コメントが送信されると、データベースに送信されて保存されます。

通常、このコメント フィールドには、データベースに送信される前にデータを検証するための構成が必要です。

しかし、構成が正しくないと、通常のテキスト コメントとコード行を区別できなくなります。

では、ハッカーが、このサイトのコメント セクションが任意の入力を受け付けていることを発見したと仮定しましょう。 JavaScript コードを入力することはできますが、出力は通常のコメントのように見えます。

Web サイトの所有者が気付かない可能性があるのは、ハッカーが「Click me」ボタンも入力できることですが、これは許可されるべきではありません。

次に、ウェブサイトの通常の訪問者 (ターゲット) がこのページに到達します。このユーザーがボタンをクリックすると、悪意のあるコードが実行され、訪問者のブラウザーに感染します。ハッカーは、訪問者のブラウザ Cookie からデータを抽出できるようになります。

Cookie には、保存されているログイン資格情報、クレジット カード情報、個人データなど、あらゆる種類の情報が保存されます。ウェブサイトにログインすると、次のようなポップアップが表示され、ブラウザにパスワードを記憶させるかどうか尋ねられます:

通常のユーザー (ターゲット) は通常、Facebook、電子メール、ショッピング サイト、職場の Web サイト、YouTube などのブラウザーで複数のタブを開いています。ハッカーが XSS 攻撃を実行できる場合、彼らはすべてのサイトの Cookie がブラウザで開かれます。これが「クロスサイト」と呼ばれる理由です。彼らはこの情報を使用して、顧客を欺いたり、より大きな攻撃を実行したりします。

この攻撃は Web サイトに直接影響を与えませんが、深刻な影響を及ぼします。それはあなたの訪問者の一人一人を危険にさらします.さらに、Google はあなたのサイトをすぐにブラックリストに載せ、ウェブ ホストはあなたのホスティング アカウントを一時停止します。

反射的または非永続的な XSS 攻撃

この攻撃では、ハッカーは Web サイト自体を標的にしてアクセスを取得します。これがどのように機能するかをお見せしましょう:

Web サイトに検索タブがあり、顧客が必要なものをすばやく見つけることができるとします。このタブは、理想的にはアルファベットのみを受け入れる必要があります。ただし、正しく構成されておらず、特殊文字と数字も受け入れます.サイトの検索エンジンは、ユーザーからのテキスト入力とハッカーによる悪意のあるコード入力を区別できなくなります。

悪意のあるコードが挿入されると、Web サイトのデータベースに移動して実行されます。それが起こると、ハッカーは Web サイトへのアクセスを取得し、悪意のある行為を実行し始めることができます!さらに悪いことに、彼らはあなたの Web サイトを使用して、DDoS 攻撃のような大規模なハッキング攻撃を開始する可能性があります.

これで、XSS 攻撃がどれほど深刻になる可能性があるか、そして Web サイトをそれから保護する必要がある理由がわかりました。それでは、HTTP セキュリティ ヘッダーが XSS 攻撃を防ぐ理由を詳しく見ていきましょう。

HTTP セキュリティ ヘッダーとは

HTTP は Hypertext transfer protocol の略で、インターネット上でメッセージをフォーマットして送信する方法を定義します。

Google Chrome や Mozilla Firefox などの最新の Web ブラウザーには、HTTP 応答ヘッダーがエンコードされています。これらの HTTP セキュア ヘッダーは通常、ステータス エラー コード、コンテンツ エンコーディング、コンテンツ セキュリティ、キャッシュ制御などのメタデータで構成されます。

応答ヘッダーは、ブラウザーが Web サイトと対話するときにどのように動作するかをブラウザーに指示します。たとえば、ユーザーが Google Chrome を開いて Web サイトにアクセスすると、HTTP ヘッダーは、ブラウザー、Web サイト、およびその Web サーバーが通信する方法を決定する役割を果たします。

これをよりよく理解できるように、そのような HTTP 応答ヘッダーの 1 つについて説明します。

ウェブサイトに SSL または TLS 証明書を設定している場合、それはウェブサイトが HTTPS 経由でのみアクセスできることを意味します (これは、転送中のデータを暗号化する安全な接続です)。しかし、ハッカーは HTTP 経由でサイトにアクセスする方法を見つけることができます。ハッカーが HTTP 経由でサイトを開いてデータを盗むために使用できる、インターネット上ですぐに利用できるスクリプトがいくつかあります。

SSL 証明書を強化し、サイトが HTTP 経由でアクセスされないようにするために、「strict transport security」と呼ばれる応答ヘッダーを追加できます。これにより、Safari、Chrome、Firefox などの最新のブラウザはすべて、HTTPS のみを介して Web サイトと通信するようになります。これにより、コンテンツ スニッフィングとパケット スニッフィングの可能性が排除されます。

攻撃者が HTTP 経由でサイトを開こうとすると、ブラウザーは単にページを読み込めません。

WordPress ウェブサイトに追加できるさまざまな HTTP セキュリティ ヘッダーがあります。今日は、クロスサイト スクリプティングを軽減/防止する X-XSS 保護に焦点を当てています。

HTTP セキュリティ ヘッダーで X-XSS 保護を設定する方法

HTTP セキュリティ ヘッダーを設定するには、.htaccess ファイルにアクセスして編集し、コード行を追加する必要があります。 WordPress ファイルをいつでも変更することは、高いリスクを伴います。少しのミスで、ウェブサイトが完全に壊れてしまう可能性があります。

そのため、完全なバックアップを取ることを強くお勧めします。 あなたの WordPress サイトの。 BlogVault プラグインを使用すると、数分以内にウェブサイトの完全バックアップを作成できます。このプロセス中に問題が発生した場合は、Web サイトを通常の状態にすばやく復元できます。

WordPress ファイルを変更する前に、WordPress Web サイトのバックアップを作成してください。 BlogVault を使用すると、信頼できるバックアップを取得できます。クリックしてツイート

ステップ 1:Web サイトをスキャンしてヘッダーが存在するかどうかを確認する

Web サイトでヘッダーが有効になっているかどうかを確認することをお勧めします。管理された WordPress ホストで確認するか、securityheaders.com などの Web サイトを使用してください。

ウェブサイトの URL を入力して、今すぐスキャンしてください。次のようなレポートが表示されます:

X-XSS 保護ヘッダーが設定されていないことは確かです。

注:ほとんどのブラウザでは、デフォルトで X-XSS 保護が有効になっています。ただし、このセキュリティ ヘッダーを WordPress に追加すると、ブラウザは XSS ハッキングの試みをブロックするようになります。

ステップ 2:WordPress .htaccess ファイルにアクセスする

WordPress ホスティング アカウントにログインします。ここで、cPanel> ファイル マネージャーに移動します。

内部には、フォルダーのリストがあります。右側のパネルで、 public_html を見つけます。 フォルダ。 .htaccess ファイルはここにあります。

ヒント:.htaccess ファイルが表示されない場合は、[設定] に移動して [隠しファイルを表示] を選択してください。

ステップ 3:WordPress セキュリティ ヘッダーを挿入する

このファイルを編集するには、ファイルを右クリックするだけで、編集オプションが表示されます。

.htaccess ファイルの末尾に次のコード行を追加してください:

ヘッダー セット X-XSS-Protection “1;モード=ブロック」

ファイルを保存します。

ステップ 4:HTTP 応答ヘッダーが機能するかどうかを確認する

セキュリティヘッダーにアクセスしてサイトをスキャンし、ヘッダーが機能しているかどうかを確認することをお勧めします。

以上です。 XSS 攻撃をブロックするセキュリティ ヘッダーを実装することで、Web サイトにセキュリティ層を追加することに成功しました。

MalCare のこのガイドを使用して、WordPress サイトにセキュリティ ヘッダーを簡単に設定し、X-XSS 攻撃をブロックしました。クリックしてツイート

結論:あらゆる攻撃に対する保護

この WordPress セキュリティ ヘッダーを実装した後、あなたのサイトは XSS 攻撃に対して安全であると確信しています.しかし、心配すべき脆弱性は XSS だけではありません。あなたの Web サイトは、ハッキングやマルウェア感染などの危険にさらされているデジタル領域にあります。

ハッキングの試みをブロックし、Web サイトを保護するために十分なセキュリティ対策を講じる必要があります。 MalCare をインストールして、WordPress サイトを全面的に保護します。ウェブサイトを定期的にスキャンして監視します。また、悪意のある IP アドレスをブロックするファイアウォールも提供します。 MalCare をインストールすると、Web サイトが安全であることを確認できます。 WordPress サイトを保護する方法については、ガイドをご覧ください。

<強い>
で WordPress ウェブサイトを保護 マルケア !