امنیت وردپرس با جلوگیری از حملات تزریق اسکریپت چگونه است ؟

حملات تزریق اسکریپت

در این پست با یکی دیگر از ترفندهای وردپرس با عنوان محافظت سایت وردپرس از حملات تزریق اسکریپت در خدمت شما هستیم.
حملات تزریق اسکریپت یکی از روش‌های نفوذ و جلوگیری از دسترسی غیرمجاز به یک وب سایت است، این کار توسط یک هکر انجام می شود. در حملات تزریق اسکریپت هکرها کدهای خود را جایگزین کدهای صفحات وب پویا می کنند. این حمله اغلب هنگامی صورت می گیرد که یک سایت جهت درخواست اطلاعات کاربر از Query string استفاده می کند. کدهایی که جایگزین کدهای صفحات پویا می شوند، بر روی کامپیوتر کاربر اجرا می شوند. این کدها می توانند اطلاعات موجود در کامپیوتر کاربر مانند: رمز کاربری و کوکی ها و … را به سرقت ببرند و به صورت مخرب بکار گیرند.
تاریخچه این نوع حملات به سال ۱۹۹۶ و سالهای اولیه صفحات وب باز می‌گردد، در این هنگام رسانه‌ها این مشکلات را به ضعف امنیتی مرورگرها نسبت داده بودند. شرکت ارتباطی Netscape که جز اولین تولیدکنندگان مرورگرهای وب و همچنین سازنده زبان جاوااسکریپت بود، سیاست دامنه شخصی را به این زبان اضافه کرد، که جلوی دسترسی به آدرس‌های خارج از دامنه وب سایت را می‌گرفت و آنها را محدود می کرد.

مشکل:
حفاظت وب سایت های پویا بسیار مهم است. اکثر توسعه دهندگان همیشه از GET و POST محافظت می کنند، اما گاهی اوقات این کافی نیست.  ما باید از وب سایت خود در مقابل حملات تزریق اسکریپت و هر گونه تلاش برای تغییر PHP GLOBALS و متغیر REQUEST_ محافظت کنیم.

راه حل:
کد زیر حملات تزریق اسکریپت و هرگونه تلاش برای تغییر PHP GLOBALS و متغیر REQUEST_ را بلوکه می کند.  آن را در فایل htaccess خود (واقع در root نصب وردپرس ) قرار دهید، اطمینان حاصل کنید که از فایل htaccess پشتیبان گرفته اید، قبل ازاینکه آن را تغییر دهید.

توضیح کد:
با استفاده از فایل htaccess می توانیم درخواست ها را بررسی کنیم. در اینجا ما بررسی می کنیم که آیا درخواست حاوی <script> است و اینکه آیا برای تغییر مقدارهای  PHP GLOBALS و یا متغیر _REQUEST تلاش شده است یا نه، اگر هر یک از این شرایط مراعات شود، درخواست مسدود شده و خطای ۴۰۳ به مرورگر مشتری بازگردانده می شود.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *