¿Cómo configurar los encabezados de seguridad HTTP X-XSS en WordPress?

¿Su sitio se volvió lento y su tráfico cayó sin motivo? ¿Su sitio muestra anuncios no deseados? ¿Ves ventanas emergentes que no insertó? Tal vez necesite protección X-XSS en WordPress. Este podría ser el resultado de un ataque XSS en su sitio web de WordPress. Estos ataques son bastante comunes, pero tienen un impacto devastador. Los detalles de CVE han registrado 9,903 ataques XSS principales desde 2009. Pero no se sabe cuántos de estos ataques no se han informado. Los piratas informáticos usan la explotación de XSS para robar datos, para mostrar sus propios comerciales (generalmente drogas ilegales o contenido para adultos), para engañar a sus clientes, entre una larga lista de actividades dañinas.
Pero puede dejar de preocuparse, porque hay formas de proteger fácilmente su sitio contra XSS. Hoy, echamos un vistazo a cómo agregar encabezados protectores X-XSS en WordPress, ya que bloqueará con fuerza cualquier intento de XSS. Descubrirá cuáles son estos encabezados de respuesta y cómo implementarlos. ¡Publique esto, también le daremos algunos consejos de seguridad de WordPress para que su sitio de WordPress se vuelva sólido contra XSS y cualquier otro ataque! Tl; Dr-PROTECT Your WordPress Sittite de los ataques XSS y cualquier otra forma de malware con nuestra solución de seguridad de MalCare todo en uno. Instale el complemento en su sitio web de WordPress y asegúrese de que su sitio sea monitoreado y escaneado regularmente para protegerlo contra cualquier ataque malicioso.
Se esconde el contenido
¿Qué es XSS (secuencia de comandos de sitio cruzado) en WordPress?
¿Cuáles son los encabezados de seguridad HTTP?
Cómo configurar la protección X-XSS en el encabezado de seguridad HTTP
Conclusión: ¿Protección contra todos los ataques es XSS (scripts de sownsw) en WordPress? La secuencia de comandos entre sitios (XSS) es un tipo de ataque de inyección en el que los piratas informáticos operan las vulnerabilidades de seguridad que provienen de las entradas de los usuarios en un sitio web. Una introducción del usuario puede ser cualquier área que acepte datos del usuario del sitio web, como una barra de búsqueda del sitio, una sección de comentarios, un formulario de contacto o un campo de conexión.
Aprovechan qué tipo de información puede ingresar el usuario en estos campos de diferentes maneras. Por lo tanto, hay diferentes tipos de ataques de inscripción transversal. Aquí, detallaremos dos de los ataques XSS más comunes: ataque XSS almacenado o persistente Este tipo de ataque se refiere a los visitantes a un sitio web. Echemos un vistazo a cómo sucede esto. Supongamos que Ejemploite.com acepta las presentaciones de los usuarios en su sitio web en forma de comentarios en publicaciones de blog. Un visitante puede compartir sus pensamientos y hacer preguntas dejando comentarios en una publicación. Después de enviar el comentario, se envía a la base de datos y se almacena.
Por lo general, este campo de comentarios debe tener configuraciones para validar los datos antes de enviarse a la base de datos. Pero si las configuraciones no son correctas, no podrían distinguir entre un comentario de texto regular y una línea de código. Entonces, suponga que un hacker se dio cuenta de que la sección de comentarios de este sitio acepta cualquier entrada. Podría ingresar un código JavaScript, pero el resultado parecería un comentario regular.
Lo que el propietario del sitio web puede no notar es que el hacker puede ingresar un botón “Haga clic en Me”, que no debe permitirse. Luego, un visitante ordinario (objetivo) aterriza en esta página. Si este usuario hace clic en el botón, el código malicioso se ejecutará e infectará el navegador del visitante. El hacker podrá extraer datos de las cookies del navegador del visitante. Las cookies almacenan todo tipo de información, como el inicio de sesión almacenado, la información de la tarjeta de crédito o los datos personales. Cuando inicie sesión en un sitio web, verá una ventana emergente como esta, preguntando si desea que el navegador retenga la contraseña:

Ahora, un usuario ordinario (Target) generalmente tendría varias pestañas abiertas en un navegador, como Facebook, correo electrónico, sitio de compras, sitio de servicio, YouTube, etc. Si un hacker es capaz de realizar un ataque XSS, robaría las galletas de todos los sitios que se abren en el navegador. Es por eso que se llama “selección cruzada”. Utilizan esta información para engañar al cliente o realizar ataques más grandes.
Incluso si este ataque no afecta directamente su sitio, tiene repercusiones severas. En peligro de cada visitante. Además, Google será rápido en su lista negra, y su anfitrión suspenderá su cuenta de alojamiento. Ataque reflexivo o no persona en este ataque, los piratas informáticos están apuntando al sitio en sí para tener acceso. Vamos a mostrarle cómo funciona: supongamos que su sitio web tiene una pestaña de búsqueda donde los clientes pueden encontrar lo que quieren. Esta pestaña idealmente debería aceptar solo letras en el alfabeto. Pero no se ha configurado correctamente y acepta caracteres y números especiales. El motor de búsqueda del sitio no podrá marcar la diferencia entre ingresar el texto del usuario y la introducción del código malicioso por un hacker. ¡Cuando esto sucede, el hacker gana acceso al sitio web y puede comenzar a realizar sus documentos maliciosos! Peor aún, podría usar su sitio web para lanzar ataques de hack más grandes, como un ataque DDoS. Ahora sabemos cuán severamente puede ser un ataque XSS y por qué necesitamos proteger nuestros sitios web. Entonces, arrojémonos en la cabeza por qué los encabezados de seguridad HTTP evitan los ataques XSS. ¿Cuáles son los encabezados de seguridad HTTP? HTTP representa el protocolo de transferencia de hipertexto y define cómo se forman y transmiten los mensajes a través de Internet.

Los navegadores web modernos como Google Chrome o Mozilla Firefox tienen encabezados de respuesta HTTP en ellos. Estos encabezados seguros HTTP generalmente consisten en metadatos, como códigos de error condicionales, codificación de contenido, seguridad de contenido y control de caché. El encabezado de respuesta instruye al navegador cómo debe actuar al interactuar con un sitio web. Por ejemplo, un usuario abre Google Chrome y visita un sitio web, los encabezados HTTP juegan un papel aquí para determinar cómo el navegador, el sitio web y su servidor web se comunican. Explicaremos que el encabezado de respuesta HTTP lo ayuda a comprender esto mejor.
Si ha configurado un certificado SSL o TLS en su sitio web, significa que su sitio web solo es accesible a través de HTTPS (que es una conexión segura que cifra los datos a medida que se transfieren). Pero los piratas informáticos pueden encontrar formas de acceder a su sitio a través de HTTP. Hay varios scripts disponibles en Internet que un hacker puede usar para abrir su sitio a través de HTTP y robar datos. Para fortalecer su certificado SSL y asegurarse de que nunca se acceda a su sitio a través de HTTP, puede agregar un encabezado de respuesta llamado “Seguridad de transporte estricta”. Esto obligará a todos los últimos navegadores, como Safari, Chrome y Firefox, se comunicará con su sitio web solo a través de HTTPS. Esto elimina la posibilidad de oler contenido y olfatear paquetes.
Si un atacante intenta abrir su sitio a través de HTTP, el navegador simplemente no cargará la página. Hay diferentes encabezados de seguridad HTTP que puede agregar a su sitio de WordPress. Hoy, nos centramos en la protección X-XSS, que mitigará / evitará scripts entre sitios. Cómo configurar la protección X-XSS en el encabezado de seguridad HTTP para configurar la sede de seguridad HTTP, debe acceder y editar el archivo .htaccess y agregar líneas de código. Cambiar archivos de WordPress en cualquier momento presenta un alto riesgo. Un paso un poco incorrecto podría conducir a un sitio web completamente defectuoso. Por lo tanto, le recomendamos encarecidamente que haga una copia de seguridad completa de su sitio de WordPress. Puede usar el complemento BlogVault para hacer una copia de seguridad completa de su sitio web en menos de unos minutos. Si algo no funciona bien durante este proceso, puede restaurar rápidamente su sitio a la normalidad. Ass una copia de repuesto de su sitio de WordPress antes de cambiar los archivos de WordPress. Puede obtener una copia confiable con BlogVault. Haga clic para enviar un tweet
Paso 1: Escanee el sitio web para verificar si hay un encabezado, recomendamos revisar si su sitio web ya tiene el encabezado activado. Puede consultar con su host administrado de WordPress o usar un sitio web como SecurityHeaders.com. Ingrese la URL de su sitio y escanee ahora. Verá un informe como este:

Podemos estar seguros de que no hay un conjunto de encabezado protector X-XSS. Nota: La mayoría de los navegadores tienen protección X-XSS predeterminada. Pero agregar este encabezado de seguridad a WordPress entrenará el navegador para bloquear los intentos Hack XSS. Paso 2: Vaya a su archivo de WordPress .htaccess Inicie sesión en su cuenta de alojamiento de WordPress. Aquí, vaya al Administrador de archivos Cpanel>. En el interior, encontrará una lista de carpetas. En el panel correcto, busque la carpeta public_html. Aquí encontrará el archivo .htaccess.
Consejo: si no puede ver el archivo .htaccess, vaya a la configuración y seleccione “Muestre los archivos ocultos”. Paso 3: ingrese el encabezado de seguridad de WordPress para editar este archivo, hágalo bien y verá la opción de edición.
Agregue la siguiente línea de código al final del archivo .htaccess: encabezado X-XSS-Protection “1; MODE = BLOCK ”Guarde el archivo. Paso 4: Verifique que el encabezado de respuesta HTTP funcione, le recomendamos que visite su sede de seguridad para escanear su sitio para verificar si el encabezado está funcionando. Y eso es todo. Ha agregado con éxito una capa de seguridad a su sitio web implementando el encabezado de seguridad para bloquear los ataques XSS.
He configurado los encabezados de seguridad fácilmente en mi sitio web de WordPress para bloquear los ataques X-XSS utilizando esta guía de MalCare. Haga clic para enviar un tweet