گاهی در مباحث مربوط به هک ایمیل و امنیت سایت با حملات Xss یا Cross Site Scripting مواجه میشویم که خطرساز میشوند. در این مقاله شما را با روش حمله Xss ، انواع حملات Xss و روش های مقابله با آن آشنا خواهیم کرد.
بعضی از پلاگین های وردپرس با توجه به سوء استفاده از توابع add_query_arg() و remove_query_arg() نسبت به حملات Cross-site Scripting یا XSS آسیب پذیر هستند. جهت کسب اطلاعات بیشتر در مورد حملات تزریق کد کلیک نمایید.
این توابع مشهور توسط توسعه دهندگان وردپرس برای تغییر و یا اضافه کردن کوئری به URL ها استفاده شده اند.مستندات رسمی وردپرس برای این توابع خیلی روشن و واضح نیست و بسیاری از توسعه دهندگان افزونه به دلیل استفاده از این توابع گمراه شده و به خطر افتاده اند.
توسعه دهندگان از این کدها برای جلوگیری از ورود کاربران استفاده میکردند. این جزئیات ساده باعث آسیب پذیری بسیاری از پلاگین ها نسبت به حملات XSS شده است..! برای کسب اطلاع بیشتر میتوانید اطلاعیه مشاوره امنیتی وردپرس را مطالعه نمایید.
پیشنهاد وب رمز: آشنایی با حملات Xss یا Cross Site Scripting
پلاگین های تحت تاثیر حملات XSS
- Jetpack
- WordPress SEO
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Multiple Plugins from Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Multiple iThemes products including Builder and Exchange
- Broken-Link-Checker
- Ninja Forms
- و احتمالا موارد دیگری وجود دارند که در این لیست ذکر نشده اند.
اگر شما از وردپرس استفاده میکنید توصیه اکید ما این است که همین حالا وارد پیشخوان وردپرس شده و تمامی پلاگین های تاریخ گذشته را به نسخه های جدید آپدیت نمایید. اگر بروزرسانی خودکار را فعال کرده باشید سایت شما اتومات آپدیت میگردد.
پلاگین هایی زیادی در معرض خطر هستند
تیم امنیتی وردپرس تعداد ۳۰۰ – ۴۰۰ از همه پلاگین هایی که ممکن است در معرض خطر باشند را بررسی کرده است. بنابراین به احتمال زیاد هنوز تعدادی پلاگین آسیب پذیر نیز وجود دارند که شناخته نشده اند.
زمان بروزرسانی! در صورت استفاده از هر یک از این پلاگین ها مطمئن شوید که در حال حاضر آپدیت و بروزرسانی شده باشد. تیم امنیتی وردپرس به بررسی بیشتر پلاگین ها ادامه خواهد داد. الان زمانی خوبی برای یادآوری این موضوع است که همه نرم افزارها دارای باگ میباشند که برخی از این باگ ها منجر به آسیب های امنیتی برای نرم افزارها میشد.
موارد امنیتی مانند باگ ها در مورد پلاگین ها، قالب ها، سرورهای وب، CMS ها و اساسا هر برنامه ای که توسط افراد بر پایه کدنویسی ایجاد شده باشد نیز وجود دارد و توسعه دهندگان نیز سعی میکنند این باگ ها را با استفاده از اصول برنامه نویسی امن به حداقل برسانند ولی به ناچار باز هم موارد امنیتی اتفاق می افتند. تیم پشتیبانی وردپرس وبرمز همواره آماده پیدا کردن راه حل هایی برای به حداقل رساندن تاثیر این آسیب های امنیتی میباشد.
موارد کاهش خطر آسیب پذیری امنیتی سایت
۱- بروزرسانی
سایت های خود را همواره بروز رسانی کنید.
۲- دسترسی ها را محدود کنید
دسترسی به مسیر wp-admin را به آی پی های مشخص محدود کنید.
۳- مانیتور یا تحت نظر داشتن
همواره لاگ ها را بررسی کنید لاگ ها میتوانند سرنخ هایی از اتفاقاتی که در سایت شما می افتد بدهند.
۴- کاهش افزونه های استفاده شده در سایت
فقط از پلاگین ها و برنامه هایی استفاده کنید که واقعا به آنها نیاز دارید.
۵- تشخیص به موقع
سایت خود را اسکن کنید تا پلاگین ها و برنامه های تاریخ گذشته آنرا بیابید. Sitecheck اینکار را به صورت رایگان انجام میدهد.
۶- پیشگیری و محافظت
در صورتی که سرور هاست وردپرس شما از سیستم های پیشگیری از نفوذ (IPS) و یا وب آپلیکیشن فایروال (WAF) مانند هاست وب رمز استفاده می کند این برنامه ها در پیشگیری از بیشتر حملات XSS کمک کننده هستند ولی هیچگاه راه حل نهایی که بروزکردن برنامه سایت است را نبایست نادیده بگیرید.
تدوین و گردآوری: حبیبه سورانی
