{"id":260673,"date":"2022-12-27T15:25:00","date_gmt":"2022-12-27T12:25:00","guid":{"rendered":"https:\/\/inform.click\/como-verificar-se-o-seu-sistema-wordpress-esta-protegido-contra-ataques-xss\/"},"modified":"2022-12-27T16:18:00","modified_gmt":"2022-12-27T13:18:00","slug":"como-verificar-se-o-seu-sistema-wordpress-esta-protegido-contra-ataques-xss","status":"publish","type":"post","link":"https:\/\/inform.click\/pt-pt\/como-verificar-se-o-seu-sistema-wordpress-esta-protegido-contra-ataques-xss\/","title":{"rendered":"Como verificar se o seu sistema WordPress est\u00e1 protegido contra ataques XSS"},"content":{"rendered":"

\n Em todo o mundo, quase 48% de todos os sites s\u00e3o vulner\u00e1veis \u200b\u200ba scripts entre sites (XSS). Em todo o mundo, quase exatamente 25% de todos os sites utilizam a plataforma WordPress.\n<\/p>\n

\n Segue-se que no diagrama de Venn de sites vulner\u00e1veis \u200b\u200ba XSS e sites que executam a plataforma WordPress, a sobreposi\u00e7\u00e3o deve ser bastante grande.\n<\/p>\n

\n Isso n\u00e3o \u00e9 uma batida na plataforma em si. A equipe do WordPress tornou a seguran\u00e7a parte integrante de sua declara\u00e7\u00e3o de miss\u00e3o e corrige agressivamente as vulnerabilidades sempre que elas se tornam conhecidas. No entanto, isso n\u00e3o impede que as pessoas codifiquem temas inseguros ou instalem plug-ins inseguros. Esses problemas s\u00e3o as duas principais portas de entrada para ataques XSS em sites WordPress, e este artigo discutir\u00e1 como par\u00e1-los.\n<\/p>\n

\n Introdu\u00e7\u00e3o ao Cross-Site Scripting
\n<\/h4>\n

\n Primeiro, vamos discutir como os ataques XSS s\u00e3o executados. H\u00e1 mais de um tipo de ataque XSS, ent\u00e3o vou come\u00e7ar com uma defini\u00e7\u00e3o simplificada. Geralmente, os ataques XSS come\u00e7am com entradas n\u00e3o sanitizadas – formul\u00e1rios de coment\u00e1rios, caixas de coment\u00e1rios, barras de pesquisa, etc. Esses ataques variam muito em sofistica\u00e7\u00e3o. Na verdade, a forma mais simples de ataque XSS \u00e9 vista diariamente pelos usu\u00e1rios do WordPress: o coment\u00e1rio de spam. Voc\u00ea sabe do que estou falando: “Obrigado pelo excelente artigo. A prop\u00f3sito, aqui est\u00e1 meu site onde ganho $ 5.000 por semana trabalhando em casa: www.only-an-idiot-would-click-this-link.co.uk.”\n<\/p>\n

\n De alguma forma, os coment\u00e1rios de spam s\u00e3o o exemplo perfeito de um ataque XSS. Uma entidade maliciosa subverte a infraestrutura do seu site (a caixa de coment\u00e1rios) para colocar seu conte\u00fado (o link malicioso) em seu site. Embora este seja um bom exemplo ilustrativo, um ataque XSS mais realista ser\u00e1 muito mais sutil. Um coment\u00e1rio de spam leva cerca de cinco segundos para ser criado. Um ataque XSS \u00e9 algo em que um hacker adequado gastar\u00e1 um pouco mais de tempo.\n<\/p>\n

\n Um verdadeiro black hat tentar\u00e1 tirar proveito de todo e qualquer aspecto do seu site que envie dados para o servidor, essencialmente usando-os como um editor de texto em miniatura. Se suas entradas n\u00e3o estiverem protegidas, isso significa que elas podem literalmente pegar seu c\u00f3digo e for\u00e7ar seu aplicativo a execut\u00e1-lo e renderiz\u00e1-lo no navegador de um usu\u00e1rio (e isso pode incluir seu navegador). Ao contr\u00e1rio dos coment\u00e1rios de spam, apenas um exame detalhado do c\u00f3digo modificado do seu site ou uma an\u00e1lise das intera\u00e7\u00f5es do site podem revelar uma viola\u00e7\u00e3o. Como se pode imaginar, n\u00e3o h\u00e1 fim para o n\u00famero de coisas desagrad\u00e1veis \u200b\u200bque podem resultar de tal viola\u00e7\u00e3o.\n<\/p>\n

\n Vandalismo simples \u00e9 um resultado relativamente comum de ataques XSS, resultando na exibi\u00e7\u00e3o de imagens grotescas ou propaganda pol\u00edtica aos seus usu\u00e1rios no lugar do seu conte\u00fado. Os profissionais de marketing com poucos planos de longo prazo ou preocupa\u00e7\u00f5es \u00e9ticas os usar\u00e3o para fazer propaganda para as pessoas contra sua vontade. Um ataque mais matizado e sutil pode roubar as credenciais de login de seus usu\u00e1rios. Se um deles tiver privil\u00e9gios de administrador, qualquer informa\u00e7\u00e3o pessoal que voc\u00ea armazene em seu site pode estar dispon\u00edvel. Como alternativa, eles podem usar o ataque XSS inicial como uma alavanca para abrir seu site e instalar malware ainda mais avan\u00e7ado.\n<\/p>\n

\n Parando Ataques
\n<\/h4>\n

\n Se voc\u00ea \u00e9 um indiv\u00edduo razoavelmente experiente em c\u00f3digo e \u00e9 o \u00fanico propriet\u00e1rio de um site WordPress relativamente pequeno, as pr\u00e1ticas seguras de codifica\u00e7\u00e3o provavelmente ser\u00e3o a melhor maneira de bloquear seu site contra ataques de script entre sites. Incluo esta ressalva porque, se voc\u00ea fizer parte de uma organiza\u00e7\u00e3o maior executando um aplicativo mais complexo, pode n\u00e3o ser humanamente poss\u00edvel localizar todas as \u00e1reas onde um invasor mal-intencionado pode injetar c\u00f3digo. Os sites modernos podem ser enormes em escala e pode ser necess\u00e1rio contratar um profissional experiente e gastar seu tempo em outras atividades para tornar seu site ainda melhor para seus leitores.\n<\/p>\n

\n Outro aviso \u00e9 que, se voc\u00ea n\u00e3o \u00e9 particularmente conhecedor de c\u00f3digo e est\u00e1 fazendo com que outra pessoa construa seu site para voc\u00ea, n\u00e3o presuma que eles usaram pr\u00e1ticas de codifica\u00e7\u00e3o seguras. Sabe-se que at\u00e9 mesmo os desenvolvedores mais experientes deixam a seguran\u00e7a de lado ou cometem pequenos erros sem que outra pessoa verifique seu trabalho. tempo para si (apesar da falta de profissionalismo quanto a isso). Em resumo, certifique-se de contratar um profissional aclamado que n\u00e3o economize quando se trata de desenvolver e proteger seu site.\n<\/p>\n

\n Essa preocupa\u00e7\u00e3o sendo expressa, uma das primeiras e mais f\u00e1ceis coisas que voc\u00ea pode fazer para evitar scripts entre sites \u00e9 validar os dados do usu\u00e1rio.\n<\/p>\n

\n Digamos que voc\u00ea tenha um formul\u00e1rio de inscri\u00e7\u00e3o em seu site e esse formul\u00e1rio pe\u00e7a ao usu\u00e1rio para inserir seu nome. Um usu\u00e1rio mal-intencionado pode digitar algo como:\n<\/p>\n

\n<script>\n<![CDATA[\nCoughUpYourPreciousData();\n]]>\n<\/script><\/code><\/pre>\n
\n  Isso pode, por exemplo, fazer com que a pr\u00f3xima pessoa que visitar essa p\u00e1gina envie uma c\u00f3pia de seus cookies para um invasor.\n<\/p>\n
\n  Voc\u00ea pode ver que neste exemplo, a string de c\u00f3digo acima n\u00e3o se parece em nada com o nome de algu\u00e9m. Seu servidor n\u00e3o sabe disso, mas usando alguns par\u00e2metros definidos, voc\u00ea pode ensin\u00e1-lo. Por exemplo, voc\u00ea pode dizer a esse campo para rejeitar caracteres especiais, como ,() e ; (eles n\u00e3o s\u00e3o particularmente necess\u00e1rios em uma se\u00e7\u00e3o de coment\u00e1rios). Voc\u00ea pode dizer a esse campo que o nome de uma pessoa provavelmente n\u00e3o cont\u00e9m n\u00fameros. Se voc\u00ea estiver disposto a ser um pouco draconiano, pode dizer a esse campo para rejeitar entradas com mais de quinze caracteres (ou pode alterar os valores conforme desejar). Seguir essas etapas limitar\u00e1 drasticamente a quantidade de dano que um invasor pode causar com um campo espec\u00edfico.\n<\/p>\n
\"\"<\/a><\/p>\n
\n  Mesmo com a valida\u00e7\u00e3o de dados, pode haver formul\u00e1rios ou campos onde voc\u00ea n\u00e3o pode limitar de forma realista o tipo de caracteres usados, como em um formul\u00e1rio de contato ou campo de coment\u00e1rio. O que voc\u00ea pode fazer \u00e9 higienizar os dados. Esse processo impossibilita que o HTML seja executado em um determinado campo, convertendo tudo o que pode ser reconhecido como um peda\u00e7o de c\u00f3digo execut\u00e1vel em caracteres n\u00e3o codificados. Por exemplo, um hiperlink n\u00e3o aparecer\u00e1 onde poderia haver um.\n<\/p>\n
\n  Por fim, h\u00e1 casos em que seu site pode acabar exibindo dados inseguros para os usu\u00e1rios. Digamos que algu\u00e9m escreva um coment\u00e1rio malicioso em uma de suas p\u00e1ginas, que \u00e9 posteriormente indexado pela fun\u00e7\u00e3o de pesquisa do seu site. Sempre que um de seus usu\u00e1rios realiza uma pesquisa, esse c\u00f3digo malicioso \u00e9 executado quando o navegador carrega os resultados da pesquisa. Isso \u00e9 evitado pelo escape de dados, o que garante que, quando seu site fornecer dados a um usu\u00e1rio, o \u00fanico c\u00f3digo executado seja o c\u00f3digo que voc\u00ea deseja executar.\n<\/p>\n
\n  Para saber mais sobre valida\u00e7\u00e3o de dados, limpeza de dados e escape de dados, o WordPress Codex<\/a> tem um excelente recurso. Ele explicar\u00e1 os conceitos acima em detalhes, al\u00e9m de fornecer mais exemplos que podem ser aplicados universalmente.\n<\/p>\n
\n  Outros m\u00e9todos
\n<\/h4>\n
\n  Grandes empresas t\u00eam sites maiores; \u00e9 um fato. Talvez milhares de pessoas usem seu site por dia. Talvez em vez de formul\u00e1rios e campos padr\u00e3o, tamb\u00e9m existam anima\u00e7\u00f5es, v\u00e1rios portais, partes escritas em Java e assim por diante. Mesmo que voc\u00ea acompanhe tudo isso, talvez haja um dia zero em um de seus aplicativos e voc\u00ea n\u00e3o tenha como se defender.\n<\/p>\n
\n  Em uma situa\u00e7\u00e3o como essa, se voc\u00ea tiver influ\u00eancia e or\u00e7amento para fazer isso, recomendo que invista em um Web Application Firewall (WAF). Um bom WAF ter\u00e1 regras de correla\u00e7\u00e3o que identificam e bloqueiam automaticamente as strings HTML mais comumente associadas a ataques de inje\u00e7\u00e3o de c\u00f3digo. Eles tamb\u00e9m podem notific\u00e1-lo quando os aplicativos come\u00e7am a exfiltrar dados quando n\u00e3o deveriam ou est\u00e3o fazendo isso em um volume incomum, ajudando assim na defesa contra ataques de dia zero e outras amea\u00e7as avan\u00e7adas. Um WAF n\u00e3o \u00e9 uma bala de prata, mas \u00e9 uma ferramenta inestim\u00e1vel para profissionais de seguran\u00e7a e propriet\u00e1rios de sites que desejam proteger aplicativos complexos.\n<\/p>\n
\n  H\u00e1 tamb\u00e9m v\u00e1rios plugins que pretendem se defender contra ataques XSS. Na verdade, eu n\u00e3o recomendo isso. Em vez de reduzir o risco, muitos desses plug-ins representam apenas outra superf\u00edcie de ataque para um hacker explorar. Mesmo um dos plugins de seguran\u00e7a mais conhecidos e amplamente usados, o Akismet, foi considerado vulner\u00e1vel a ataques XSS<\/a> no ano passado. Quando se trata de desviar ataques XSS, n\u00e3o confie em meias medidas. Desenvolva as habilidades necess\u00e1rias e use o conjunto apropriado de ferramentas para manter seu site seguro.\n<\/p>\n
\n  Outras Aplica\u00e7\u00f5es Pr\u00e1ticas
\n<\/h4>\n
\n  Esta informa\u00e7\u00e3o pode ser um pouco complexa para os n\u00e3o iniciados, mas eu odiaria que as pessoas ficassem desencorajadas pelas potenciais complexidades desta informa\u00e7\u00e3o. Caso ocorra um ataque XSS, voc\u00ea pode ter certeza de que a limpeza ap\u00f3s tal evento ser\u00e1 muito mais complexa do que fazer as altera\u00e7\u00f5es em seu site. Limpar os custos de reputa\u00e7\u00e3o do seu site (leitores regulares fugir\u00e3o do seu site com bastante facilidade) ser\u00e1 um problema adicional com o qual voc\u00ea n\u00e3o deve se preocupar.\n<\/p>\n
\n  Mesmo se voc\u00ea estiver contratando outra pessoa para cuidar do desenvolvimento e da seguran\u00e7a do seu site, fa\u00e7a o poss\u00edvel para, pelo menos, responder a uma emerg\u00eancia e saber onde est\u00e3o seus pontos fracos. Saber como verificar seu sistema ser\u00e1 uma habilidade vital a longo prazo e ser\u00e1 a base para outros t\u00f3picos de seguran\u00e7a e projetos de desenvolvimento de sites. Tudo est\u00e1 interconectado on-line e, embora os ataques XSS possam ser uma coisa dos \u00faltimos anos (por mais improv\u00e1vel que seja), saber os meandros do seu site nunca ficar\u00e1 desatualizado.\n<\/p>\n
\n  Pensamentos finais
\n<\/h4>\n
\n  O cen\u00e1rio de seguran\u00e7a da Internet muda constantemente. Voc\u00ea nunca pode estar totalmente certo de como um ataque XSS pode aparecer ou como ele pode ser utilizado contra voc\u00ea, mas voc\u00ea deve isso a si mesmo e a seus leitores para se certificar de que est\u00e1 fazendo tudo ao seu alcance para det\u00ea-los. Continue se informando sobre essa amea\u00e7a e verifique regularmente (recomendo pelo menos mensalmente) quaisquer desenvolvimentos relevantes no mundo da seguran\u00e7a cibern\u00e9tica.\n<\/p>\n
\n  Isso tamb\u00e9m n\u00e3o significa que voc\u00ea pode ignorar outras amea\u00e7as. O acesso \u00e0 rede p\u00fablica ainda requer o uso de VPN para ser seguro. Voc\u00ea n\u00e3o pode negligenciar a seguran\u00e7a de qualquer computador que usar para acessar seu site. As informa\u00e7\u00f5es de login ainda precisam ser alteradas com frequ\u00eancia e protegidas contra ataques de for\u00e7a bruta. Os ataques XSS s\u00e3o brutais, mas n\u00e3o s\u00e3o a \u00fanica amea\u00e7a a ser observada.\n<\/p>\n
\n  Tamb\u00e9m pode ser importante que voc\u00ea compartilhe esta informa\u00e7\u00e3o (ou mesmo este artigo) com seus colegas e partes interessadas, a fim de espalhar a resist\u00eancia contra esses tipos de ataques. Embora voc\u00ea n\u00e3o consiga fazer muito sozinho, se um n\u00famero suficiente de pessoas estiver se protegendo adequadamente, poderemos ver uma diminui\u00e7\u00e3o geral nesses tipos de ataques, pois os hackers tentam descobrir uma maneira diferente de lucrar com os usu\u00e1rios pobres da Internet.\n<\/p>\n
\n  Voc\u00ea tem alguma ideia de como verificar se h\u00e1 ataques XSS, bem como se defender deles no futuro? Existem outras estrat\u00e9gias de detec\u00e7\u00e3o e remo\u00e7\u00e3o que voc\u00ea usa para combater essa amea\u00e7a? Existem ferramentas que voc\u00ea recomendaria a seus colegas leitores? Em caso afirmativo, deixe um coment\u00e1rio abaixo e continue esta importante conversa com seus colegas leitores.\n<\/p>\n<\/p>\n
\n  Fonte de grava\u00e7\u00e3o: instantshift.com<\/a>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
Em todo o mundo, quase 48% de todos os sites s\u00e3o vulner\u00e1veis \u200b\u200ba scripts entre sites (XSS). Em todo o mundo, quase exatamente 25% de todos os sites utilizam a plataforma WordPress. Segue-se que no diagrama de Venn de sites vulner\u00e1veis \u200b\u200ba XSS e sites que executam a plataforma WordPress, a sobreposi\u00e7\u00e3o deve ser bastante grande. Isso n\u00e3o \u00e9 uma batida na plataforma em si. A equipe do WordPress tornou a seguran\u00e7a parte integrante de sua declara\u00e7\u00e3o de miss\u00e3o e corrige agressivamente as vulnerabilidades sempre que elas se tornam conhecidas. No entanto, isso n\u00e3o impede que as pessoas codifiquem temas inseguros ou instalem plug-ins inseguros. Esses problemas s\u00e3o as duas principais portas de entrada\u2026<\/p>\n","protected":false},"author":1,"featured_media":222525,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[111,59],"tags":[],"class_list":["post-260673","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguranca-web","category-web-e-wordpress-2"],"_links":{"self":[{"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/posts\/260673","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/comments?post=260673"}],"version-history":[{"count":0,"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/posts\/260673\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/media\/222525"}],"wp:attachment":[{"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/media?parent=260673"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/categories?post=260673"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/tags?post=260673"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}