Resuelve estos problemas comunes de seguridad de WordPress JavaScript

JavaScript, el lenguaje de secuencias de comandos para el navegador, es popular por razones bien fundadas. Puede ser una base excelente para una aplicación web, en la que el tiempo de respuesta del rayo encuentra elementos interactivos para involucrar a los usuarios de nuevas maneras. Sin embargo, algunos usuarios dudan en ingresar al mundo de JavaScript. En el pasado, JavaScript fue fácilmente explotado para manipular a los usuarios en los sitios web. A continuación, cubriremos algunos ejemplos comunes de exploración de JavaScript, los riesgos que presentan y cómo mantener su sitio seguro.
<b class = "lwptoc_title" incluido
1. Problemas de seguridad de WordPress JavaScript
1.1. Ataques XSS
1.2. Ataques de CSRF
1.3. Inyección de JavaScript en el lado del servidor
1.4. Problemas lógicos a nivel de cliente
2. Problemas y riesgos de seguridad de JavaScript
3. Riesgos de seguridad específicos de WordPress y JavaScript
3.1. Eval () en JavaScript Security Risks
3.2. Complementos de WordPress y problemas de seguridad de JavaScript
4. Escáneres de seguridad de JavaScript
4.1. Borrar
4.2. Ladrón
4.3. Wapiti
5. Cómo asegurar el código JavaScript
5.1. Evite usar eval ()
5.2. Use SSL/HTTPS
5.3. Use la sede de Cors
5.4. Definir una política de seguridad de contenido
6. Cómo establecer módulos de cookies asegurados en JavaScript
7. Seguridad de la API de JavaScript
7.1. Asegurar las claves API en una aplicación JavaScript en el lado del cliente
7.2. Restringir el acceso a ciertos intervalos IP
7.3. Límites de direcciones IP
8. WP Engine y JavaScript Security
Problemas de seguridad WordPress JavaScript Algunos de los exploits de JavaScript más comunes de scripting de sitios cruzados (XSS) y falsificación de solicitudes de sitios cruzados (CSRF), aunque también puede ver la inyección de JavaScript del lado del servidor y los problemas con la lógica del lado del cliente. Exploraremos estos diversos ataques a continuación. La secuencia de comandos de sitio cruzado XSS, o XSS, es una de las vulnerabilidades más comunes del navegador. Estos tipos de ataques ocurren cuando un atacante hiere el código malicioso en una aplicación legítima (pero vulnerable). Los atacantes pueden manejar JavaScript y HTML para activar el código o las escrituras maliciosas. De esta manera, la aplicación o sitio web vulnerable se utiliza como un "vehículo" para ejecutar el script en el usuario final. Los ataques de CSRF falsifican las solicitudes en varios sitios implica hacerse cargo o usar la identidad de la sesión del navegador secuestrando la cookie de la sesión. Los ataques de CSRF pueden engañar a los usuarios para realizar acciones maliciosas que el atacante quiere o tomar acciones no autorizadas en el sitio. En este ejemplo, la cookie de sesión es el "vehículo" que un atacante usa para usurpar la identidad de un usuario legítimo.
La inyección de JavaScript en el servidor del servidor JavaScript Inyection Server es un tipo más nuevo para explotar JavaScript, que se dirige principalmente a las aplicaciones Node.js y NoSQL. Si bien los ataques XSS se ejecutan en el navegador web del usuario final, los ataques del servidor se realizan a nivel de servidor, que puede tener efectos más desastrosos en un sitio web. En este tipo de inyección, un atacante podría cargar y ejecutar archivos binarios maliciosos en el servidor web. El código vulnerable es nuevamente el "vehículo" utilizado por el atacante en este ejemplo. Problemas lógicos a nivel del cliente Cuando los desarrolladores eligen realizar un procesamiento seguro a nivel de cliente, esto puede abrir el navegador para los atacantes que podrían escuchar. Por ejemplo, si su código de sitio web codifica las claves API a JavaScript a nivel de cliente, esto sería vulnerable a los atacantes. En este ejemplo, las prácticas de codificación débiles del sitio web son el "vehículo" utilizado por los atacantes para explotar su sitio y sus usuarios.
JavaScript Security Problemas y riesgos Cuando las vulnerabilidades de JavaScript como las discutidas anteriormente, su sitio es vulnerable a los atacantes. Un sitio pirateado puede significar dañar la marca, el tiempo para no funcionar mientras su sitio se limpia y desconfía de sus usuarios. Esto significa que su negocio pierde dólares y centavos, productividad y confianza lo que podría haber sido muy clientes. Leal. A veces hay connotaciones legales para las vulnerabilidades de seguridad, especialmente el uso de la identidad de los usuarios en los ataques CSRF. Uno por uno, JavaScript Las prácticas de codificación inciertas y malas pueden costarle la integridad del dinero y el negocio. WordPress y JavaScript SecuritySis son algunos riesgos significativos cuando se usa JavaScript en WordPress. Echemos un vistazo a dos de las funciones más comunes: eval () y complementos de WordPress mal codificados. Eval () en JavaScript Security Risks eval () esencialmente una cadena de código e intenta ejecutarlo como JavaScript. Esta función existe en varios lenguajes de programación y tiene algunos usos legítimos, pero los desarrolladores deben tener cuidado con ella. Esto se debe a que el uso de eval () en JavaScript puede presentar un riesgo de seguridad importante.
Este riesgo proviene principalmente de usar la función para evaluar la entrada del usuario. Si un usuario experimentado cumple con un campo de texto en su sitio web () Rolling (), podría usarlo para ejecutar código malicioso. Esto se conoce como secuencia de comandos de sitios cruzados (XSS) y evitar eval () es una forma de proteger su sitio de WordPress de este tipo de ataque.
Los complementos de WordPress y los problemas de seguridad de JavaScript Muchos usuarios de WordPress están buscando un complemento gratuito cuando necesitan una determinada funcionalidad para sus sitios web. Aunque la mayoría de las veces funciona, debe tener cuidado (y seleccionar) qué complementos están instalados en su sitio. Esto se debe a que muchos de ellos pueden causar posibles problemas de seguridad, debido al uso de JavaScript. Por supuesto, no todos los complementos lo harán Causa problemas con JavaScript. Sin embargo, muchos complementos de WordPress usan JavaScript, lo que significa que confía en el conocimiento y la experiencia del desarrollador para mantener su sitio seguro. En general, la mejor manera de evitar cualquier problema es buscar complementos que tengan una gran cantidad de instalaciones activas, altas evaluaciones y un historial de actualizaciones consistente. JavaScript Security Scanners Hay varias herramientas de seguridad que lo ayudarán a examinar su sitio web (o aplicación web) desde el exterior para determinar si es vulnerable a la inyección y los ataques. Antes de comenzar con cualquiera de estas herramientas, asegúrese de consultar con su host web para verificar las políticas de prueba de penetración. A continuación exploraremos algunas de las herramientas de escaneo de vulnerabilidades más importantes.
Zap Zap, o el proxy de Attack Zed, ha sido desarrollado por la Autoridad de Seguridad OWASP y ofrece la oportunidad de escanear fácilmente su sitio para una amplia gama de vulnerabilidades. Esta herramienta puede ser utilizada por una amplia gama de niveles de usuario debido a su interfaz intuitiva y está ampliamente personalizada para las necesidades de su proyecto. Grabber Grabber puede escanear su sitio web en busca de vulnerabilidad, desde la inyección SQL y XSS hasta la prueba AJAX e incluir archivos. Grabber tiende a ser un escáner más lento que otros, por lo que solo debe usarse en sitios web más pequeños o aplicaciones web. Wapiti permite a los usuarios probar vectores de ataque e inyección utilizando las solicitudes HTTP Get y Post. Detecta la divulgación e inclusión de archivos, XSS, configuraciones de Apache débiles y más. Esta es una herramienta más avanzada que se ejecuta a través de la línea de comando. Cómo asegurar el código JavaScript para conocer el ataque y las vulnerabilidades más comunes es un paso importante para asegurar su sitio. Sin embargo, existen las mejores prácticas de desarrollo de JavaScript para evitar estos problemas. Aunque nunca hay una garantía de que su código siempre esté seguro, estos pasos evitarán muchos ataques por su naturaleza.

Evite usar la función eval () eval () es utilizada por los desarrolladores para ejecutar el texto como un código, que es por naturaleza una práctica peligrosa.En la mayoría de los casos, se pueden hacer sustituciones donde estas funciones no son necesarias.Siempre que sea posible, reemplace eval () con funciones más seguras.Use SSL/HTTPS SSL, o Secure Sockets Sockets Socket, es una forma de cifrar los datos enviados por los usuarios en la web al interactuar con su sitio. Es extremadamente importante que las páginas en las que los usuarios ingresan los datos (páginas de autenticación, formas de contacto , canasta, pago, cuenta) para ser asegurado con SSL.
Utilice la sede de Cors Cors, o compartir recursos de intervención cruzada, es un encabezado que puede establecer que define las fuentes permitidas para referirse a los recursos de su sitio. En el archivo .htaccess: Access-Control-Alow-Origin: http: // Foo.Example Definir una política de seguridad de contenido Una política de seguridad de contenido es un encabezado que puede establecer en su archivo de configuración NGINX o, si usa Apache, en el archivo .htaccess. Esta política le permite definir las fuentes permitidas para el código JavaScript, los estilos, las fuentes, los marcos, los medios y más. Su encabezado generalmente se verá así: Content-Security-Polycy: Default-Src: ‘Self’; Script-src: https://apis.google.com; La política anterior dice que implícitamente todas las fuentes deben ser el anfitrión/sitio web en sí, y para JavaScript también aceptará apis.google.com. Todas las demás fuentes serían rechazadas. Cómo establecer los módulos de cookies asegurados en JavaScript Otra forma en que puede asegurarse de que la información del usuario esté encriptada es restringir el uso de cookies para asegurar solo páginas web. Esto significa que la cookie no se enviará si la página no usa SSL/HTTPS. Para especificar una cookie como “asegurada” o enviada solo por https, puede usar la siguiente sintaxis: document.cookie = “tagName = test; secure”; Como referencia, los siguientes atributos se pueden usar para establecer una cookie: SEGUS-La cookie se enviará en un canal seguro-HTTPS
Httponly-no permita que los scripts locales lean cookies.
Dominio: verifique dos veces la configuración del campo.
Expire: determina el agente de usuario cómo analizar o cómo elegir el tiempo de vencimiento.
La API de seguridad JavaScript API Security puede ser una pelea, porque JSON es rodado y devuelto al cliente. Esto significa que algunas de las funciones interiores de su API estarán expuestas a la Web si alguien mira lo suficientemente de cerca. Sin embargo, hay algunas opciones específicas para enviar información confidencial con API. Cuando se utiliza un sistema API JavaScript, el sistema de seguridad y la autenticación que usa pueden variar según las necesidades de su proyecto en esta sección, enfatizaremos las diferentes opciones de seguridad de API y quién debe usarlas. Asegurar las claves API en una aplicación JavaScript en el lado del cliente, la opción más utilizada es establecer una API secreta y un acceso clave. Estas claves permiten el acceso a API y asignan un token secreto individual a cada usuario final. Si los pares de acceso y las claves secretas no coinciden, el acceso a la API se revoca o se rechace. Empresas como Google y Facebook generalmente usan este método para validar a los usuarios finales. Si bien Facebook depende principalmente de la clave secreta atribuida a cada usuario, Google tiende a usar una clave secreta en el servidor real a través de OAuth. La opción de gestión clave es probablemente la mejor para las organizaciones de los grandes usuarios, posiblemente desconocidas. Restringir el acceso a ciertos intervalos IP Si su API solo se utilizará en un grupo o edificio en particular, puede administrar la seguridad de la API manteniendo una lista IP blanca con direcciones IP permitidas.