HTML
 Computer >> コンピューター >  >> プログラミング >> HTML

クロスサイト スクリプティング防止の実装方法

Web サイトへのクロスサイト スクリプティング攻撃が心配ですか?何も心配する必要はありません!

しかし実際には、クロスサイト スクリプティング攻撃は非常に一般的です。 また、Web サイトが遅かれ早かれクロスサイト スクリプティング攻撃の影響を受ける可能性もあります。

このタイプの攻撃では、ハッカーは訪問者のブラウザーを使用して Web サイトを攻撃します。 Web サイトにアクセスすると、機密データを盗んだり、違法なファイルやフォルダーを保存したり、訪問者を他の悪意のあるサイトにリダイレクトしたり、スパムのようなキーワードで検索結果を操作したり、他の Web サイトに攻撃を仕掛けたりすることができます。このような悪意のある活動は、Web サイトを破壊する可能性があります。

攻撃は Web サイトの速度を低下させ、Web サイトの検索エンジンのランキングに影響を与えます。トラフィックが減少し、最終的に収益が減少します。

事態はさらに悪化する可能性があり、ユーザーには、不正なサイトが先にある、このサイトが検索結果の Web サイトでハッキングされる可能性がある、Google がサイトをブラックリストに登録する、ホスティング プロバイダーがサイトを一時停止するなどの警告が表示されます。

でも心配はいりません。ウェブサイトでこのようなことが起こらないようにすることができます。 いくつかの簡単なクロスサイト スクリプティング防止対策を講じることによって。

この記事では、クロスサイト スクリプティング攻撃から Web サイトを保護するための適切な手順の実装を支援します。

TL;DR: クロスサイト スクリプティングは危険なハッキングであり、被害者のサイトに深刻な損害を与えます。しかし、それは簡単に防ぐことができます。この種の攻撃からサイトを保護するために、MalCare などの WordPress セキュリティ プラグインをインストールできます。

クロスサイト スクリプティング攻撃 (XSS) とは?

クロスサイト スクリプティング攻撃では、ハッカーが訪問者になりすまして Web サイトをハッキングします。

このタイプの攻撃を理解する最善の方法は、ハッカーが攻撃を実行するために実行する手順に従うことです。

→ ほとんどのウェブサイトには 入力フィールド があります 訪問者が Web サイトにデータを入力できるようにする (連絡先フォーム、サインアップ フォーム、コメント セクションなど)。

これらのフィールドはプラグインによって有効化されています .通常、プラグインは、フィールドに挿入されたデータがコード スニペットのように悪意のあるものでないことを確認します。しかし、プラグインが XSS の脆弱性を開発すると、訪問者が悪意のあるデータや信頼できないデータを入力できるようになる可能性があります。

たとえば、脆弱なコメント プラグインにより、訪問者は悪意のあるリンクを挿入できます。

リンクをクリックすると 、悪意のあるコードまたは悪意のある JavaScript がアクティブ化されています ブラウザの Cookie にアクセスする許可を求められます。

→ あなたのウェブサイトは特定の機能を実行するように求めているようです .騙されて、ブラウザの Cookie へのアクセスを許可してしまう可能性が非常に高いです。

ブラウザの Cookie へのアクセスを許可する 機密情報をハッカーに公開します。

→ ブラウザの Cookie には、ログイン資格情報を含むあらゆる種類の情報が保存されます。ログイン資格情報にアクセスできるようになると、ハッカーはあなたになりすまして Web サイトにログインできます。

クロスサイト スクリプティング防止の実装方法 クロスサイト スクリプティング XSS 攻撃では、ハッカーが訪問者になりすますことによって Web サイト。これは、XSS 攻撃を防ぐための優れたガイドです。クリックしてツイート

XSS またはクロスサイト スクリプティング攻撃のさまざまな種類

クロスサイト スクリプト攻撃には 2 種類あります。それらは:

  • 保存された (または永続的な) XSS 攻撃 – この攻撃のターゲットは、サイトの訪問者です。
  • 反射型 (または非永続的) XSS 攻撃 – このタイプの攻撃のターゲットは Web サイトです。

脆弱なプラグインが原因で、クロスサイト スクリプティング攻撃が発生します。ハッカーは、フォーム プラグインやコメント プラグインなどの脆弱なプラグインを使用して、インターネットをスキャンして Web サイトを探します。これらのプラグインは通常、ユーザー入力の検証で問題を引き起こします。脆弱なプラグインを使用している Web サイトを発見すると、攻撃を開始します。

最終的に、ハッカーは被害者のブラウザの Cookie にアクセスできるようになります。この Cookie には、ウェブサイトのログイン資格情報、電子バンキングの資格情報、Facebook、電子メールの資格情報などの重要な情報が保存されています。

ハッカーの主な目的が Web サイトのハッキングである場合、サイトのログイン資格情報を抽出します。 これは反射型 XSS 攻撃と呼ばれます。 しかし、ハッカーがサイトのユーザーまたは訪問者を標的にしている場合、彼は電子バンキング、Facebook、および Gmail の資格情報を抽出します。 これは、保存された XSS または永続的な XSS 攻撃と呼ばれます。

クロスサイト スクリプティングとそのさまざまな形式について理解したところで、この種のハッキング攻撃から Web サイトを保護する方法を見てみましょう。

クロスサイト スクリプティングの防止策

WordPress サイトは、プラグインとテーマを使用して構築されます。ほとんどのサイトには、訪問者がデータを挿入できる連絡先フォームまたはコメント セクションを有効にする入力プラグインがあります。

多くの入力プラグインは、時間の経過とともに XSS 脆弱性を開発します。 前に説明したように、ハッカーは脆弱性を利用してサイトにクロスサイト スクリプティング攻撃を仕掛けることができます。プラグインは Web サイトの重要な部分であるため、単純に削除することはできません。あなたにできることは、Web サイトへの XSS 攻撃を防ぐための対策を講じることです。

xss の脆弱性を防止し、XSS 攻撃からサイトを保護するためにサイトに実装する必要がある 5 つの対策を紹介します。

<オール>
  • セキュリティ プラグインをインストールする
  • Prevent XSS Vulnerability プラグインをインストールする
  • コメントを公開する前に確認する
  • プラグインを最新の状態に保つ
  • 評判の良いマーケットプレイスのプラグインを使用する

    • 1.セキュリティ プラグインをインストールする

    MalCare のような優れたセキュリティ プラグインは、WordPress ファイアウォールで Web サイトを保護し、サイトの強化対策を実装できるようにします。

    i.ファイアウォール

    WordPress ファイアウォール プラグインは、着信トラフィックを調査し、悪質なトラフィックが Web サイトにアクセスするのを防ぎます。訪問者 (ハッカーを含む) は、スマートフォンやラップトップなどのデバイスを使用してサイトにアクセスします。すべてのデバイスには、IP アドレスと呼ばれる一意のコードが関連付けられています。 MalCare のファイアウォールは、インターネットをスキャンして不正な IP アドレスを探します。 過去に悪意のあるアクティビティに関連付けられた IP アドレスは、Web サイトにアクセスできなくなります。

    このようにして、サイトにアクセスして XSS 攻撃を実行しようとするハッカーは、最初からブロックされます。

    ii.サイトの強化

    MalCare には多くの WordPress 強化対策があり、そのうちの 1 つがセキュリティ キーの変更です。クロスサイト スクリプティング XSS 攻撃では、ハッカーがユーザーの資格情報を含むユーザーのブラウザー Cookie を盗もうとすることがわかっています。ただし、WordPress はこれらの認証情報を暗号化して保存します。パスワードにセキュリティ キーとソルトが追加され、解読が困難になります。

    ハッカーがキーとソルトを知っていれば、あなたのログイン パスワードを知ることができます。 これが、Web アプリケーションのセキュリティ研究者が WordPress ソルトとキーを隔年または四半期ごとに変更することを推奨する理由です。 MalCare を使用すると、ボタンをクリックするだけでセキュリティ キーを変更できます。

    クロスサイト スクリプティング防止の実装方法

    2. XSS 脆弱性防止プラグインをインストールする

    信頼できるセキュリティ プラグインを配置したら、Prevent XSS Vulnerability プラグインをインストールして、XSS 攻撃でよく見られるパラメータを特定することをお勧めします。

    クロスサイト スクリプティング防止の実装方法

    たとえば、ハッカーがコメント セクションに残す可能性のある挿入された悪意のあるリンクでは、感嘆符、開き丸括弧などの記号が使用されている可能性があります。これらのパラメータをブロックすることにより、プラグインは WordPress Web サイトに対するクロス サイト スクリプティング攻撃を防ぐのに役立ちます。

    とはいえ、このプラグインは XSS に対して限定的な保護しか提供できません。ファイアウォールは、XSS 攻撃を早期に防止および検出する上で重要な役割を果たします。これが、セキュリティ プラグインに加えてこのプラグインの使用を最初に推奨する理由です。

    3.コメントをライブにする前に手動で承認する

    クロスサイト スクリプト攻撃では、ハッカーは誰かがリンクをクリックすることを期待して、コメント セクションに悪意のあるリンクを残します。

    ウェブサイトでコメントを許可する前に、コメントを調査することをお勧めします。 WordPress のネイティブ コメント システムと、JetPack、Thrive Comments、Disqus などの一般的なコメント プラグインを使用すると、コメントを受け入れて公開する前に手動で確認できます。

    クロスサイト スクリプティング防止の実装方法

    とはいえ、悪意のあるリンクを特定するのは簡単ではありません。ハッカーは、正当に見えるように偽装したリンクを含む本物のコメントを残します。リンクを調査していても、誤ってクリックすると、ハッキング攻撃を開始する可能性があります。

    多くのサイト所有者は、WordPress のネイティブ コメント システムではなく、コメント プラグインを使用することを好みます。 これは、コメント プラグインの方がスパムを管理する能力が優れているためです。しかし、前述したように、プラグインは時間の経過とともに脆弱性を開発する傾向があり、これにより Web サイトがハッキング攻撃にさらされる可能性があります.

    コメント プラグインを保持し、コンテンツ セキュリティの脆弱性を克服するには、プラグインを最新の状態に保つことをお勧めします。その理由については次のセクションで説明します。

    4.プラグインを最新の状態に保つ

    プラグインの開発者がソフトウェアに XSS の脆弱性を発見すると、すぐに修正してセキュリティ パッチをリリースします。

    このパッチは更新の形で提供されます。

    サイトのプラグインを更新すると、XSS 脆弱性にパッチが適用されます。しかし、更新が延期されると、Web サイトはクロスサイト スクリプティングや XSS 攻撃に対して脆弱になります。

    これは、セキュリティ パッチがリリースされると、脆弱性が公開情報になるためです。 これは、古いバージョンのプラグインに脆弱性が存在することをハッカーが認識していることを意味します。ハッカーは、ボットやツールを使用してインターネットをスキャンし、脆弱なプラグインの特定のバージョンを使用している WordPress Web サイトを見つけます。

    更新を遅らせると、Web サイトがハッキングの標的になります。

    その後、クロスサイト スクリプティングの脆弱性を悪用し、Web サイトをハッキングする可能性があります。したがって、経験則として、ウェブサイトを常に最新の状態に保つようにしてください。

    5.信頼できるマーケットプレイスからプラグインを購入

    Jetpack や Disqus などの無料のプラグインを使用している場合は、公式の WordPress リポジトリからダウンロードすることをお勧めします。 Thrive Comments や WpDevArt などのプレミアム プラグインを使用する場合は、公式 Web サイトまたは Code Canyon、ThemeForest、Evanto などの信頼できる市場から入手してください。

    信頼できるマーケットプレイスは、クロスサイト スクリプティングの脆弱性が発生する可能性を減らす高品質のプラグインを提供します。

    最近では、プレミアム プラグインの海賊版を無料で提供している Web サイトがたくさんあります。これらの海賊版プラグインのほとんどには、マルウェアがプリインストールされています。それらをサイトにインストールすることは、ハッカーへの扉を開くことと同じです。さらに、海賊版プラグインは更新を受け取らないため、プラグインに発生する脆弱性が残り、Web サイトがハッキング攻撃に対して脆弱なままになります。

    信頼できないソースからの海賊版プラグインを使用しないでください。信頼できるマーケットプレイスまたは WordPress リポジトリからのプラグインのみを使用してください。

    以上で、WordPress Web サイトでのクロスサイト スクリプティングの防止は終了しました。これらの対策を実装すれば、クロスサイト スクリプティング攻撃から Web サイトを保護できると確信しています。

    私のサイトはクロスサイト スクリプティング攻撃を受けていました。この XSS 防止チート シートは、サイトを保護するための予防措置を講じるのに役立ちました。クリックしてツイート

    出発する前に

    WordPress サイトをクロスサイト スクリプティング攻撃から保護することは、Web サイトのセキュリティに関して正しい方向への一歩です。

    ただし、クロスサイト スクリプティングは、WordPress サイトに対するハッキング攻撃 (SQL インジェクション攻撃など) の一般的なタイプの 1 つにすぎません。ハッカーはたくさんのトリックを用意しています。クロスサイト スクリプティング攻撃と他のすべての種類の WordPress 攻撃を防ぐために、Web サイトに総合的なセキュリティ ソリューションを実装することをお勧めします。

    定期的なセキュリティ テストのために、MalCare のような信頼性の高い WordPress セキュリティ プラグインをサイトにインストールすることをお勧めします。 ハッカーがサイトにアクセスするのを防ぎながら、サイトをスキャンおよび監視するセキュリティ スキャナーまたは Web 脆弱性スキャナーが付属しています。また、サイトの強化対策を講じて、Web サイトをより安全にすることもできます。セキュリティで保護されているため、安心してウェブサイトを運営できます。

    MalCare セキュリティ プラグインを今すぐお試しください!

    この記事が役に立った場合は、WordPress サイトを保護する必要がある他のユーザーと共有してください。


    1. クロスサイト スクリプティング (XSS) 攻撃:知っておくべきことすべて

      クロスサイト スクリプティング (XSS) 攻撃は、e コマース ビジネスやその他のさまざまな Web アプリケーションが直面している、最も蔓延しているが簡単に修正できるインジェクション攻撃の 1 つとして挙げられています。 XSS は、古い Web テクノロジに基づいて構築されたアプリケーションから、リッチなクライアント側 UI を使用する新しいアプリケーションまで、すべてのアプリケーションを悩ませてきました。ただし、XSS 攻撃の潜在的な原因となる脆弱性は、簡単に検出してタイムリーに修正できることを認識することが不可欠です。 クロスサイト スクリプティング攻撃はどのように発生しますか?

    2. USB 攻撃を防ぐ方法

      このデジタル時代では、サイバー犯罪者による攻撃やデータ侵害の事例が日常的に発生しています。そして、彼らはすぐには消えません。悪意のあるプログラミングの専門知識を使用するハッカーは、私たちのデバイスに侵入する新しい方法を見つけています。隔日で、サイバー犯罪の専門家がプライベート システムや企業ネットワークに侵入してプライバシーを妨害する方法についての新しい話を耳にします。 では、どうすれば USB 攻撃を防ぐことができるのでしょうか? ハッカーが最初に攻撃を計画する他のすべての方法の中で、USB フラッシュ ドライブは脅威に対して最も脆弱です。ファイルを保存または転送するための頼りになるス