{"id":264943,"date":"2022-12-27T15:25:00","date_gmt":"2022-12-27T12:25:00","guid":{"rendered":"https:\/\/inform.click\/hur-man-kontrollerar-om-ditt-wordpress-system-ar-sakrat-mot-xss-attacker\/"},"modified":"2022-12-27T15:27:00","modified_gmt":"2022-12-27T12:27:00","slug":"hur-man-kontrollerar-om-ditt-wordpress-system-ar-sakrat-mot-xss-attacker","status":"publish","type":"post","link":"https:\/\/inform.click\/sv\/hur-man-kontrollerar-om-ditt-wordpress-system-ar-sakrat-mot-xss-attacker\/","title":{"rendered":"Hur man kontrollerar om ditt WordPress-system \u00e4r s\u00e4krat mot XSS-attacker"},"content":{"rendered":"

\n \u00d6ver hela v\u00e4rlden \u00e4r n\u00e4stan 48 procent av alla webbplatser s\u00e5rbara f\u00f6r cross-site scripting (XSS). \u00d6ver hela v\u00e4rlden anv\u00e4nder n\u00e4stan exakt 25 procent av alla webbplatser WordPress-plattformen.\n<\/p>\n

\n Det f\u00f6ljer att i Venn-diagrammet \u00f6ver webbplatser som \u00e4r s\u00e5rbara f\u00f6r XSS och webbplatser som k\u00f6r WordPress-plattformen m\u00e5ste \u00f6verlappningen vara ganska stor.\n<\/p>\n

\n Det h\u00e4r \u00e4r inte en knackning p\u00e5 sj\u00e4lva plattformen. WordPress-teamet har gjort s\u00e4kerhet till en integrerad del av sin mission statement och korrigerar aggressivt s\u00e5rbarheter n\u00e4r de blir k\u00e4nda. \u00c4nd\u00e5 hindrar detta inte m\u00e4nniskor fr\u00e5n att koda os\u00e4kra teman eller installera os\u00e4kra plugins. Dessa problem \u00e4r de tv\u00e5 prim\u00e4ra ing\u00e5ngarna f\u00f6r XSS-attacker p\u00e5 WordPress-webbplatser, och den h\u00e4r artikeln kommer att diskutera hur man stoppar dem.\n<\/p>\n

\n Introduktion till cross-site scripting
\n<\/h4>\n

\n L\u00e5t oss f\u00f6rst diskutera hur XSS-attacker utf\u00f6rs. Det finns mer \u00e4n en typ av XSS-attack, s\u00e5 jag b\u00f6rjar med en f\u00f6renklad definition. Generellt sett b\u00f6rjar XSS-attacker med osanifierade indata\u2014kommentarformul\u00e4r, kommentarsrutor, s\u00f6kf\u00e4lt, et cetera. Dessa attacker varierar mycket i sofistikerad form. Egentligen ses den enklaste formen av XSS-attack av WordPress-anv\u00e4ndare varje dag: spamkommentaren. Du vet vad jag pratar om: ”Tack f\u00f6r den utm\u00e4rkta artikeln. F\u00f6rresten, h\u00e4r \u00e4r min sida d\u00e4r jag tj\u00e4nar 5 000 dollar i veckan p\u00e5 att arbeta hemifr\u00e5n: www.only-an-idiot-would-click-this-link.co.uk.”\n<\/p>\n

\n P\u00e5 n\u00e5got s\u00e4tt \u00e4r skr\u00e4ppostkommentarer det perfekta exemplet p\u00e5 en XSS-attack. En skadlig enhet undergr\u00e4ver infrastrukturen p\u00e5 din webbplats (kommentarrutan) f\u00f6r att placera deras inneh\u00e5ll (den skadliga l\u00e4nken) p\u00e5 din webbplats. \u00c4ven om detta \u00e4r ett bra illustrativt exempel, kommer en mer realistisk XSS-attack att vara mycket mer subtil. En skr\u00e4ppostkommentar tar ungef\u00e4r fem sekunder f\u00f6r n\u00e5gon att skapa. En XSS-attack \u00e4r n\u00e5got en riktig hackare kommer att l\u00e4gga lite mer tid p\u00e5.\n<\/p>\n

\n En \u00e4kta svart hatt kommer att f\u00f6rs\u00f6ka dra nytta av alla aspekter av din webbplats som skickar data till servern, i huvudsak anv\u00e4nda dem som en miniatyr textredigerare. Om dina indata \u00e4r of\u00f6rsvarade betyder det att de bokstavligen kan ta sin kod och tvinga din applikation att k\u00f6ra den och rendera i en anv\u00e4ndares webbl\u00e4sare (och det kan inkludera din webbl\u00e4sare). Till skillnad fr\u00e5n skr\u00e4ppostkommentarer kan endast en detaljerad unders\u00f6kning av din webbplatss modifierade kod eller genom att kamma webbplatsinteraktioner avsl\u00f6ja ett intr\u00e5ng. Som man kan f\u00f6rest\u00e4lla sig finns det inget slut p\u00e5 antalet ot\u00e4cka saker som kan bli resultatet av ett s\u00e5dant brott.\n<\/p>\n

\n Enkel vandalism \u00e4r ett relativt vanligt resultat av XSS-attacker, vilket resulterar i att dina anv\u00e4ndare visas groteska bilder eller politisk propaganda i st\u00e4llet f\u00f6r ditt inneh\u00e5ll. Marknadsf\u00f6rare med f\u00e5 l\u00e5ngsiktiga planer eller etiska problem kommer att anv\u00e4nda dem f\u00f6r att annonsera f\u00f6r m\u00e4nniskor mot deras vilja. En mer nyanserad och subtil attack kan stj\u00e4la dina anv\u00e4ndares inloggningsuppgifter. Om en av dem har administrat\u00f6rsbeh\u00f6righet kan all personlig information som du lagrar p\u00e5 din webbplats vara aktuell. Alternativt kan de anv\u00e4nda den f\u00f6rsta XSS-attacken som en h\u00e4vst\u00e5ng f\u00f6r att b\u00e4nda upp din webbplats och installera \u00e4nnu mer avancerad skadlig programvara.\n<\/p>\n

\n Att stoppa attacker
\n<\/h4>\n

\n Om du \u00e4r en n\u00e5gorlunda kodkunnig person, och du \u00e4r ensam \u00e4gare till en relativt liten WordPress-webbplats, kommer s\u00e4ker kodning f\u00f6rmodligen att vara det b\u00e4sta s\u00e4ttet att l\u00e5sa din webbplats mot skriptattacker \u00f6ver flera webbplatser. Jag inkluderar denna varning eftersom om du \u00e4r en del av en st\u00f6rre organisation som k\u00f6r en mer komplex applikation, kanske det inte \u00e4r m\u00e4nskligt m\u00f6jligt f\u00f6r dig att hitta alla omr\u00e5den d\u00e4r en skadlig angripare kan injicera kod. Moderna webbplatser kan vara enorma i omfattning, och det kan vara l\u00e4mpligt att anlita en erfaren proffs och l\u00e4gga din tid p\u00e5 andra syssels\u00e4ttningar f\u00f6r att g\u00f6ra din webbplats \u00e4nnu b\u00e4ttre f\u00f6r dina l\u00e4sare.\n<\/p>\n

\n En annan varning \u00e4r att om du inte \u00e4r s\u00e4rskilt kodkunnig och l\u00e5ter n\u00e5gon annan bygga din webbplats \u00e5t dig, anta inte att de har anv\u00e4nt s\u00e4ker kodningsmetoder. \u00c4ven de mest erfarna utvecklarna har varit k\u00e4nda f\u00f6r att l\u00e4mna s\u00e4kerheten vid sidan av eller g\u00f6ra mindre fel utan att n\u00e5gon annan kontrollerar deras arbete. Andra utvecklare kanske helt enkelt inte vet vad de g\u00f6r n\u00e4r det g\u00e4ller s\u00e4kerhet, och andra slarvar fortfarande \u00f6ver s\u00e4kerheten f\u00f6r att spara tid f\u00f6r sig sj\u00e4lva (trots bristen p\u00e5 professionalism n\u00e4r det kommer till det). Sammanfattningsvis, se till att du anlitar en hyllad proffs som inte sk\u00e4r h\u00f6rn n\u00e4r det g\u00e4ller att utveckla och skydda din webbplats.\n<\/p>\n

\n Denna oro som uttrycks, en av de f\u00f6rsta och enklaste sakerna du kan g\u00f6ra f\u00f6r att f\u00f6rhindra cross-site scripting \u00e4r att validera anv\u00e4ndardata.\n<\/p>\n

\n L\u00e5t oss s\u00e4ga att du har ett registreringsformul\u00e4r p\u00e5 din webbplats, och det formul\u00e4ret ber anv\u00e4ndaren att skriva in sitt namn. En illvillig anv\u00e4ndare kan ist\u00e4llet skriva n\u00e5got i stil med:\n<\/p>\n

\n<script>\n<![CDATA[\nCoughUpYourPreciousData();\n]]>\n<\/script><\/code><\/pre>\n
\n  Detta kan till exempel g\u00f6ra att n\u00e4sta person som bes\u00f6ker den sidan skickar en kopia av sina cookies till en angripare.\n<\/p>\n
\n  Du kan se att i det h\u00e4r exemplet ser kodstr\u00e4ngen ovan inte ut som n\u00e5gons namn. Din server vet inte detta, men genom att anv\u00e4nda n\u00e5gra f\u00e5 parametrar kan du l\u00e4ra ut det. Du kan till exempel tala om f\u00f6r det f\u00e4ltet att avvisa specialtecken, s\u00e5som ,() och ; (de beh\u00f6vs inte s\u00e4rskilt i ett kommentarsf\u00e4lt). Du kan tala om f\u00f6r det f\u00e4ltet att en persons namn f\u00f6rmodligen inte har siffror i det. Om du \u00e4r villig att vara lite drakonisk kan du s\u00e4ga till det f\u00e4ltet att avvisa indata som \u00e4r mer \u00e4n femton tecken l\u00e5nga (eller s\u00e5 kan du \u00e4ndra v\u00e4rdena som du vill ha dem). Att vidta dessa steg kommer att drastiskt begr\u00e4nsa m\u00e4ngden skada en angripare kan g\u00f6ra med ett visst f\u00e4lt.\n<\/p>\n
\"\"<\/a><\/p>\n
\n  \u00c4ven med datavalidering kan det finnas formul\u00e4r eller f\u00e4lt d\u00e4r du inte realistiskt kan begr\u00e4nsa typen av tecken som anv\u00e4nds, till exempel i ett kontaktformul\u00e4r eller kommentarsf\u00e4lt. Det du kan g\u00f6ra \u00e4r att rensa data. Denna process g\u00f6r det om\u00f6jligt f\u00f6r HTML att exekveras i ett givet f\u00e4lt, och konverterar allt som kan k\u00e4nnas igen som en del av k\u00f6rbar kod till icke-kodande tecken. Som ett exempel kommer en hyperl\u00e4nk inte att visas d\u00e4r det annars kan finnas en.\n<\/p>\n
\n  Slutligen finns det fall d\u00e4r din webbplats kan sluta visa data som \u00e4r os\u00e4ker f\u00f6r anv\u00e4ndarna. L\u00e5t oss s\u00e4ga att n\u00e5gon skriver en skadlig kommentar p\u00e5 en av dina sidor, som sedan indexeras av din webbplatss s\u00f6kfunktion. N\u00e4rhelst en av dina anv\u00e4ndare g\u00f6r en s\u00f6kning, exekveras den skadliga koden n\u00e4r deras webbl\u00e4sare laddar s\u00f6kresultaten. Detta f\u00f6rhindras av escape-data, vilket s\u00e4kerst\u00e4ller att n\u00e4r din webbplats levererar data till en anv\u00e4ndare, \u00e4r den enda koden som k\u00f6rs koden du vill k\u00f6ra.\n<\/p>\n
\n  F\u00f6r mer om datavalidering, sanering av data och flykting av data har WordPress Codex<\/a> en utm\u00e4rkt resurs. Den kommer att f\u00f6rklara ovanst\u00e5ende begrepp i detalj samt ge fler exempel som kan till\u00e4mpas universellt.\n<\/p>\n
\n  Andra metoder
\n<\/h4>\n
\n  Stora f\u00f6retag har st\u00f6rre webbsidor; det \u00e4r fakta. Kanske tusentals m\u00e4nniskor anv\u00e4nder din webbplats per dag. Kanske finns det ist\u00e4llet f\u00f6r standardformul\u00e4r och f\u00e4lt \u00e4ven animationer, olika portaler, delar skrivna i Java och s\u00e5 vidare. \u00c4ven om du h\u00e5ller reda p\u00e5 allt det d\u00e4r, kanske det finns en nolldag i en av dina applikationer, och du har inget s\u00e4tt att f\u00f6rsvara dig.\n<\/p>\n
\n  I en situation som denna, om du har inflytande och budget f\u00f6r att g\u00f6ra det, skulle jag rekommendera att du investerar i en webbapplikationsbrandv\u00e4gg (WAF). En bra WAF kommer att ha korrelationsregler som automatiskt identifierar och blockerar de HTML-str\u00e4ngar som oftast f\u00f6rknippas med kodinjektionsattacker. De kan ocks\u00e5 meddela dig n\u00e4r applikationer b\u00f6rjar exfiltrera data n\u00e4r de inte \u00e4r t\u00e4nkta eller g\u00f6r det i en ovanlig volym, vilket hj\u00e4lper till att f\u00f6rsvara sig mot nolldagsattacker och andra avancerade hot. En WAF \u00e4r inte en silverkula, men det \u00e4r ett ov\u00e4rderligt verktyg f\u00f6r s\u00e4kerhetspersonal och webbplats\u00e4gare som hoppas kunna skydda komplexa applikationer.\n<\/p>\n
\n  Det finns ocks\u00e5 ett antal plugins som utger sig f\u00f6r att f\u00f6rsvara sig mot XSS-attacker. Jag rekommenderar faktiskt inte dessa. Ist\u00e4llet f\u00f6r att minska risken representerar m\u00e5nga av dessa plugins bara ytterligare en attackyta f\u00f6r en hackare att utnyttja. Till och med ett av de mest k\u00e4nda och mest anv\u00e4nda s\u00e4kerhetsplugin-programmen, Akismet, visade sig vara s\u00e5rbart f\u00f6r XSS-attacker<\/a> f\u00f6rra \u00e5ret. N\u00e4r det g\u00e4ller att avleda XSS-attacker, lita inte p\u00e5 halva \u00e5tg\u00e4rder. Utveckla n\u00f6dv\u00e4ndiga f\u00e4rdigheter och anv\u00e4nd l\u00e4mplig upps\u00e4ttning verktyg f\u00f6r att h\u00e5lla din webbplats s\u00e4ker.\n<\/p>\n
\n  Andra praktiska till\u00e4mpningar
\n<\/h4>\n
\n  Denna information kan vara lite komplex f\u00f6r den oinvigde, men jag skulle hata att folk skulle bli avskr\u00e4ckta av den potentiella komplexiteten i denna information. Skulle en XSS-attack intr\u00e4ffa kan du vara s\u00e4ker p\u00e5 att det kommer att bli mycket mer komplext att st\u00e4da upp efter en s\u00e5dan h\u00e4ndelse \u00e4n att g\u00f6ra \u00e4ndringar p\u00e5 din webbplats. Att st\u00e4da upp kostnaderna f\u00f6r din webbplats (vanliga l\u00e4sare kommer att fly din webbplats ganska l\u00e4tt) kommer att vara ett ytterligare problem som du inte vill beh\u00f6va oroa dig f\u00f6r.\n<\/p>\n
\n  \u00c4ven om du f\u00e5r n\u00e5gon annan att sk\u00f6ta din webbplatsutveckling och s\u00e4kerhet \u00e5t dig, g\u00f6r vad du kan f\u00f6r att \u00e5tminstone kunna reagera p\u00e5 en n\u00f6dsituation och veta var dina svaga punkter finns. Att veta hur man kontrollerar ditt system kommer att vara en viktig f\u00e4rdighet i det l\u00e5nga loppet och vara grunden f\u00f6r andra s\u00e4kerhets\u00e4mnen och webbplatsutvecklingsprojekt. Allt \u00e4r sammankopplat online och \u00e4ven om XSS-attacker kan h\u00f6ra till de senaste \u00e5ren (hur osannolikt det \u00e4n \u00e4r), kommer att k\u00e4nna till detaljerna p\u00e5 din webbplats aldrig att vara f\u00f6r\u00e5ldrade.\n<\/p>\n
\n  Slutgiltiga tankar
\n<\/h4>\n
\n  Internets\u00e4kerhetslandskapet f\u00f6r\u00e4ndras st\u00e4ndigt. Du kan aldrig vara helt s\u00e4ker p\u00e5 hur en XSS-attack kan se ut eller hur den kan anv\u00e4ndas mot dig, men du \u00e4r skyldig dig sj\u00e4lv och dina l\u00e4sare att se till att du g\u00f6r allt som st\u00e5r i din makt f\u00f6r att stoppa dem. Forts\u00e4tt att informera dig sj\u00e4lv om detta hot och kontrollera regelbundet (jag skulle rekommendera minst en g\u00e5ng i m\u00e5naden) f\u00f6r relevant utveckling inom cybers\u00e4kerhetsv\u00e4rlden.\n<\/p>\n
\n  Detta betyder inte heller att du kan ignorera andra hot. \u00c5tkomst till offentliga n\u00e4tverk kr\u00e4ver fortfarande VPN-anv\u00e4ndning f\u00f6r att vara s\u00e4ker. Du kan inte f\u00f6rsumma s\u00e4kerheten f\u00f6r n\u00e5gon dator du anv\u00e4nder f\u00f6r att komma \u00e5t din webbplats. Inloggningsinformation m\u00e5ste fortfarande \u00e4ndras ofta och vara s\u00e4ker fr\u00e5n brute force-attacker. XSS-attacker \u00e4r brutala, men de \u00e4r inte det enda hotet att se upp f\u00f6r.\n<\/p>\n
\n  Det kan ocks\u00e5 vara l\u00e4mpligt att dela denna information (eller till och med den h\u00e4r artikeln) med dina kamrater och intresserade parter f\u00f6r att sprida motst\u00e5nd mot dessa typer av attacker. \u00c4ven om du kanske inte kan g\u00f6ra f\u00f6r mycket sj\u00e4lv, om tillr\u00e4ckligt m\u00e5nga m\u00e4nniskor skyddar sig ordentligt, kan vi se en generell minskning av dessa typer av attacker n\u00e4r hackare f\u00f6rs\u00f6ker komma p\u00e5 ett annat s\u00e4tt att tj\u00e4na p\u00e5 fattiga internetanv\u00e4ndare.\n<\/p>\n
\n  Har du sj\u00e4lv n\u00e5gra tankar om hur du ska leta efter XSS-attacker samt f\u00f6rsvara dig mot dem i framtiden? Finns det n\u00e5gra andra uppt\u00e4ckts- och borttagningsstrategier du sj\u00e4lv anv\u00e4nder f\u00f6r att bek\u00e4mpa detta hot? Finns det n\u00e5gra verktyg du skulle rekommendera till dina medl\u00e4sare? Om s\u00e5 \u00e4r fallet, v\u00e4nligen l\u00e4mna en kommentar nedan och forts\u00e4tt denna viktiga konversation med dina medl\u00e4sare.\n<\/p>\n<\/p>\n
\n  Inspelningsk\u00e4lla: instantshift.com<\/a>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
\u00d6ver hela v\u00e4rlden \u00e4r n\u00e4stan 48 procent av alla webbplatser s\u00e5rbara f\u00f6r cross-site scripting (XSS). \u00d6ver hela v\u00e4rlden anv\u00e4nder n\u00e4stan exakt 25 procent av alla webbplatser WordPress-plattformen. Det f\u00f6ljer att i Venn-diagrammet \u00f6ver webbplatser som \u00e4r s\u00e5rbara f\u00f6r XSS och webbplatser som k\u00f6r WordPress-plattformen m\u00e5ste \u00f6verlappningen vara ganska stor. Det h\u00e4r \u00e4r inte en knackning p\u00e5 sj\u00e4lva plattformen. WordPress-teamet har gjort s\u00e4kerhet till en integrerad del av sin mission statement och korrigerar aggressivt s\u00e5rbarheter n\u00e4r de blir k\u00e4nda. \u00c4nd\u00e5 hindrar detta inte m\u00e4nniskor fr\u00e5n att koda os\u00e4kra teman eller installera os\u00e4kra plugins. Dessa problem \u00e4r de tv\u00e5 prim\u00e4ra ing\u00e5ngarna …<\/p>\n","protected":false},"author":1,"featured_media":222525,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[61,113],"tags":[],"class_list":["post-264943","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-web-och-wordpress","category-web-sakerhet"],"_links":{"self":[{"href":"https:\/\/inform.click\/sv\/wp-json\/wp\/v2\/posts\/264943","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/inform.click\/sv\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/inform.click\/sv\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/inform.click\/sv\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/inform.click\/sv\/wp-json\/wp\/v2\/comments?post=264943"}],"version-history":[{"count":0,"href":"https:\/\/inform.click\/sv\/wp-json\/wp\/v2\/posts\/264943\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/inform.click\/sv\/wp-json\/wp\/v2\/media\/222525"}],"wp:attachment":[{"href":"https:\/\/inform.click\/sv\/wp-json\/wp\/v2\/media?parent=264943"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/inform.click\/sv\/wp-json\/wp\/v2\/categories?post=264943"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/inform.click\/sv\/wp-json\/wp\/v2\/tags?post=264943"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}