วิธีตั้งค่าส่วนหัวความปลอดภัย X-XSS HTTP ใน WordPress

เว็บไซต์ของคุณช้าและการเข้าชมของคุณลดลงโดยไม่มีเหตุผลหรือไม่? เว็บไซต์ของคุณแสดงโฆษณาที่ไม่ต้องการหรือไม่ คุณเห็นป๊อปอัปที่คุณไม่ได้ใส่หรือไม่? บางทีคุณอาจต้องการการป้องกัน X-XSS ใน WordPress

นี่อาจเป็นผลมาจากการโจมตี XSS บนเว็บไซต์ WordPress ของคุณ การโจมตีเหล่านี้พบได้ทั่วไปแต่มีผลกระทบร้ายแรง

รายละเอียด CVE บันทึกการโจมตี XSS หลัก 9,903 ครั้งตั้งแต่ปี 2009 แต่ไม่มีใครบอกได้ว่าการโจมตีเหล่านี้ไม่ได้รับการรายงานจำนวนเท่าใด

แฮกเกอร์ใช้ประโยชน์จาก XSS เพื่อขโมยข้อมูล แสดงโฆษณาของตนเอง (มักเป็นยาเสพติดที่ผิดกฎหมายหรือเนื้อหาสำหรับผู้ใหญ่) หลอกลวงลูกค้าของคุณ ท่ามกลางรายการกิจกรรมที่เป็นอันตรายจำนวนมาก

แต่คุณสามารถเลิกกังวลได้เพราะมีหลายวิธีที่จะปกป้องเว็บไซต์ของคุณจาก XSS ได้อย่างง่ายดาย วันนี้เรามาดูวิธีการเพิ่ม X-XSS protection headers ใน WordPress เนื่องจากจะบล็อกความพยายาม XSS ใด ๆ อย่างบังคับ

คุณจะได้เรียนรู้ว่าส่วนหัวของคำตอบเหล่านี้คืออะไรและจะนำไปใช้อย่างไร โพสต์นั้น เราจะให้เคล็ดลับการรักษาความปลอดภัย WordPress อีกสองสามข้อเพื่อทำให้เว็บไซต์ WordPress ของคุณแข็งแกร่งต่อ XSS และการโจมตีอื่นๆ!

TL;DR: ปกป้องเว็บไซต์ WordPress ของคุณจากการโจมตี XSS และมัลแวร์รูปแบบอื่นๆ ด้วยโซลูชัน MalCare Security แบบ All-in-one ของเรา ติดตั้งปลั๊กอินบนเว็บไซต์ WordPress ของคุณและมั่นใจได้ว่าเว็บไซต์ของคุณจะได้รับการตรวจสอบและสแกนเป็นประจำเพื่อป้องกันการโจมตีที่เป็นอันตราย

XSS (Cross-Site Scripting) ใน WordPress คืออะไร

Cross-site scripting (XSS) เป็นการโจมตีประเภทหนึ่งที่แฮกเกอร์ใช้ช่องโหว่ด้านความปลอดภัยที่มาจากอินพุตของผู้ใช้บนเว็บไซต์ ข้อมูลที่ผู้ใช้ป้อนอาจเป็นส่วนใดก็ได้ที่รับข้อมูลจากผู้ใช้เว็บไซต์ เช่น แถบค้นหาเว็บไซต์ ส่วนความคิดเห็น แบบฟอร์มติดต่อ หรือช่องเข้าสู่ระบบ

พวกเขาใช้ประโยชน์จากข้อมูลที่ผู้ใช้สามารถป้อนลงในฟิลด์เหล่านี้ได้หลายวิธี ดังนั้นจึงมีการโจมตีแบบ cross-scripting หลายประเภท เราจะอธิบายรายละเอียดเกี่ยวกับการโจมตี XSS ที่พบบ่อยที่สุด 2 แบบ:

การโจมตี XSS ที่เก็บไว้หรือถาวร

การโจมตีประเภทนี้มุ่งเป้าไปที่ผู้เยี่ยมชมเว็บไซต์ มาดูกันว่ามันเกิดขึ้นได้อย่างไร

สมมติว่า examplesite.com ยอมรับอินพุตของผู้ใช้บนเว็บไซต์ของพวกเขาในรูปแบบของความคิดเห็นในโพสต์บล็อก ผู้เยี่ยมชมสามารถแบ่งปันความคิดและถามคำถามโดยแสดงความคิดเห็นในโพสต์ หลังจากส่งความคิดเห็นแล้ว จะถูกส่งไปยังฐานข้อมูลและจัดเก็บไว้

โดยปกติ ช่องความคิดเห็นนี้ควรมีการกำหนดค่าเพื่อตรวจสอบความถูกต้องของข้อมูลก่อนจะถูกส่งไปยังฐานข้อมูล

แต่ถ้าการกำหนดค่าไม่ถูกต้อง จะไม่สามารถแยกแยะระหว่างความคิดเห็นที่เป็นข้อความปกติกับบรรทัดของโค้ดได้

สมมติว่าแฮ็กเกอร์คิดว่าส่วนความคิดเห็นของไซต์นี้ยอมรับข้อมูลใด ๆ พวกเขาสามารถป้อนรหัส JavaScript แต่ผลลัพธ์จะดูเหมือนความคิดเห็นปกติ

สิ่งที่เจ้าของเว็บไซต์อาจไม่สังเกตเห็นก็คือแฮ็กเกอร์สามารถป้อนปุ่ม "คลิกฉัน" ได้เช่นกัน ซึ่งตามหลักแล้วไม่ควรได้รับอนุญาต

ถัดไป ผู้เข้าชมปกติ (เป้าหมาย) ของเว็บไซต์จะเข้ามาที่หน้านี้ หากผู้ใช้รายนี้คลิกที่ปุ่ม โค้ดที่เป็นอันตรายจะทำงานและทำให้เบราว์เซอร์ของผู้เยี่ยมชมติดไวรัส แฮ็กเกอร์จะสามารถดึงข้อมูลจากคุกกี้ของเบราว์เซอร์ของผู้เข้าชมได้

คุกกี้จัดเก็บข้อมูลทุกประเภท เช่น ข้อมูลรับรองการเข้าสู่ระบบที่เก็บไว้ ข้อมูลบัตรเครดิต หรือข้อมูลส่วนบุคคล เมื่อคุณลงชื่อเข้าใช้เว็บไซต์ คุณจะเห็นป๊อปอัปเช่นนั้นถามว่าคุณต้องการให้เบราว์เซอร์จำรหัสผ่านหรือไม่:

ตอนนี้ผู้ใช้ทั่วไป (เป้าหมาย) มักจะเปิดหลายแท็บบนเบราว์เซอร์เช่น Facebook, อีเมล, ไซต์ช็อปปิ้ง, เว็บไซต์ที่ทำงาน, YouTube ฯลฯ หากแฮ็กเกอร์สามารถเรียกใช้การโจมตี XSS ได้ พวกเขาจะขโมย คุกกี้ของเว็บไซต์ทั้งหมดที่เปิดอยู่บนเบราว์เซอร์ ด้วยเหตุนี้จึงเรียกว่า 'ข้ามไซต์' พวกเขาใช้ข้อมูลนี้เพื่อหลอกลวงลูกค้าหรือทำการโจมตีที่ใหญ่กว่า

แม้ว่าการโจมตีนี้จะไม่ส่งผลกระทบต่อเว็บไซต์ของคุณโดยตรง แต่ก็ส่งผลกระทบอย่างรุนแรง ทำให้ผู้เยี่ยมชมของคุณทุกคนตกอยู่ในอันตราย นอกจากนี้ Google จะขึ้นบัญชีดำเว็บไซต์ของคุณอย่างรวดเร็ว และโฮสต์เว็บของคุณจะระงับบัญชีโฮสติ้งของคุณ

การโจมตี XSS แบบสะท้อนหรือไม่ต่อเนื่อง

ในการโจมตีนี้ แฮกเกอร์กำหนดเป้าหมายเว็บไซต์เพื่อเข้าถึง มาแสดงวิธีการทำงานกัน:

สมมติว่าเว็บไซต์ของคุณมีแท็บค้นหาที่ลูกค้าสามารถค้นหาสิ่งที่ต้องการได้อย่างรวดเร็ว แท็บนี้ควรยอมรับเฉพาะตัวอักษรของตัวอักษรเท่านั้น แต่ยังไม่ได้รับการกำหนดค่าอย่างถูกต้อง และยอมรับอักขระพิเศษและตัวเลขด้วย เสิร์ชเอ็นจิ้นของไซต์จะไม่สามารถแยกความแตกต่างระหว่างการป้อนข้อความจากผู้ใช้และการป้อนโค้ดที่เป็นอันตรายโดยแฮ็กเกอร์

เมื่อแทรกแล้ว โค้ดที่เป็นอันตรายจะเดินทางไปยังฐานข้อมูลของเว็บไซต์และดำเนินการได้ เมื่อสิ่งนั้นเกิดขึ้น แฮ็กเกอร์จะสามารถเข้าถึงเว็บไซต์และสามารถเริ่มดำเนินการที่เป็นอันตรายได้! ที่แย่ไปกว่านั้น พวกเขาสามารถใช้เว็บไซต์ของคุณเพื่อเริ่มการโจมตีแบบแฮ็กที่ใหญ่กว่า เช่น การโจมตี DDoS

ตอนนี้เราทราบแล้วว่าการโจมตี XSS นั้นรุนแรงเพียงใด และเหตุใดเราจึงต้องปกป้องเว็บไซต์ของเราจากการโจมตี มาดูเหตุผลที่ส่วนหัวความปลอดภัย HTTP ป้องกันการโจมตี XSS กัน

ส่วนหัวความปลอดภัย HTTP คืออะไร

HTTP ย่อมาจาก Hypertext transfer protocol และกำหนดวิธีการจัดรูปแบบและส่งข้อความผ่านอินเทอร์เน็ต

เว็บเบราว์เซอร์สมัยใหม่ เช่น Google Chrome หรือ Mozilla Firefox มีส่วนหัวการตอบสนอง HTTP ที่เข้ารหัสไว้ ส่วนหัว HTTP ที่ปลอดภัยเหล่านี้มักจะประกอบด้วยข้อมูลเมตา เช่น รหัสข้อผิดพลาดของสถานะ การเข้ารหัสเนื้อหา ความปลอดภัยของเนื้อหา และการควบคุมแคช

ส่วนหัวของการตอบสนองจะแนะนำเบราว์เซอร์ว่าควรทำอย่างไรเมื่อโต้ตอบกับเว็บไซต์ ตัวอย่างเช่น ผู้ใช้เปิด Google Chrome และเข้าชมเว็บไซต์ ส่วนหัว HTTP มีบทบาทในการกำหนดวิธีการสื่อสารของเบราว์เซอร์ เว็บไซต์ และเว็บเซิร์ฟเวอร์

เราจะอธิบายส่วนหัวการตอบสนอง HTTP ดังกล่าวเพื่อช่วยให้คุณเข้าใจได้ดีขึ้น

หากคุณได้ตั้งค่าใบรับรอง SSL หรือ TLS บนเว็บไซต์ของคุณ แสดงว่าเว็บไซต์ของคุณสามารถเข้าถึงได้ผ่าน HTTPS เท่านั้น (ซึ่งเป็นการเชื่อมต่อที่ปลอดภัยที่เข้ารหัสข้อมูลในขณะที่กำลังถ่ายโอน) แต่แฮกเกอร์สามารถหาวิธีเข้าถึงไซต์ของคุณผ่าน HTTP ได้ มีสคริปต์หลายตัวที่พร้อมใช้งานบนอินเทอร์เน็ตซึ่งแฮ็กเกอร์สามารถใช้เพื่อเปิดไซต์ของคุณผ่าน HTTP และขโมยข้อมูลได้

เพื่อเสริมความแข็งแกร่งให้กับใบรับรอง SSL ของคุณและให้แน่ใจว่าไซต์ของคุณจะไม่ถูกเข้าถึงผ่าน HTTP คุณสามารถเพิ่มส่วนหัวตอบกลับที่เรียกว่า 'การรักษาความปลอดภัยการขนส่งที่เข้มงวด' การดำเนินการนี้จะบังคับให้เบราว์เซอร์ล่าสุดทั้งหมด เช่น Safari, Chrome และ Firefox สื่อสารกับเว็บไซต์ของคุณผ่าน HTTPS เท่านั้น วิธีนี้ช่วยขจัดความเป็นไปได้ในการดมกลิ่นเนื้อหาและการดมกลิ่นแพ็คเก็ต

หากผู้โจมตีพยายามเปิดเว็บไซต์ของคุณผ่าน HTTP เบราว์เซอร์จะไม่โหลดหน้านั้น

มีส่วนหัวความปลอดภัย HTTP ต่างๆ ที่คุณสามารถเพิ่มลงในเว็บไซต์ WordPress ของคุณได้ วันนี้ เรากำลังมุ่งเน้นไปที่ X-XSS Protection ที่จะลด/ป้องกันการเขียนสคริปต์ข้ามไซต์

วิธีตั้งค่าการป้องกัน X-XSS ในส่วนหัวความปลอดภัย HTTP

ในการตั้งค่า HTTP Security Headers คุณต้องเข้าถึงและแก้ไขไฟล์ .htaccess และเพิ่มบรรทัดของโค้ด การเปลี่ยนแปลงไฟล์ WordPress เมื่อใดก็ได้มีความเสี่ยงสูง ความผิดพลาดเล็กน้อยอาจนำไปสู่เว็บไซต์ที่ไม่สมบูรณ์

ดังนั้น เรา ขอแนะนำอย่างยิ่งให้สำรองข้อมูลทั้งหมด ของไซต์ WordPress ของคุณ คุณสามารถใช้ปลั๊กอิน BlogVault เพื่อสำรองข้อมูลเว็บไซต์ของคุณทั้งหมดได้ภายในไม่กี่นาที หากมีสิ่งใดผิดพลาดในระหว่างกระบวนการนี้ คุณสามารถคืนค่าเว็บไซต์ของคุณให้กลับมาเป็นปกติได้อย่างรวดเร็ว

ขั้นตอนที่ 1:สแกนเว็บไซต์ของคุณเพื่อตรวจสอบว่ามีส่วนหัวหรือไม่

เราแนะนำให้ตรวจสอบว่าเว็บไซต์ของคุณเปิดใช้งานส่วนหัวแล้วหรือไม่ คุณตรวจสอบกับโฮสต์ WordPress ที่มีการจัดการหรือใช้เว็บไซต์ เช่น securityheaders.com ได้

ป้อน URL ของเว็บไซต์ของคุณแล้วสแกนทันที คุณจะเห็นรายงานดังนี้:

เรามั่นใจได้ว่าไม่มีชุดส่วนหัวป้องกัน X-XSS

หมายเหตุ:เบราว์เซอร์ส่วนใหญ่เปิดใช้งานการป้องกัน X-XSS ตามค่าเริ่มต้น แต่การเพิ่มส่วนหัวความปลอดภัยนี้ใน WordPress จะแนะนำให้เบราว์เซอร์บล็อกการพยายามแฮ็ก XSS

ขั้นตอนที่ 2:เข้าถึงไฟล์ .htaccess ของ WordPress

ลงชื่อเข้าใช้บัญชีโฮสติ้ง WordPress ของคุณ ที่นี่ ไปที่ cPanel> ตัวจัดการไฟล์

ข้างในคุณจะพบรายการโฟลเดอร์ บนแผงด้านขวา ค้นหา public_html โฟลเดอร์ คุณจะพบไฟล์ .htaccess ที่นี่

เคล็ดลับ:ในกรณีที่คุณไม่เห็นไฟล์ .htaccess ให้ไปที่การตั้งค่าและเลือก "แสดงไฟล์ที่ซ่อนอยู่"

ขั้นตอนที่ 3:ใส่ส่วนหัวความปลอดภัยของ WordPress

หากต้องการแก้ไขไฟล์นี้ เพียงคลิกขวาที่ไฟล์ แล้วคุณจะเห็นตัวเลือกให้แก้ไข

เพิ่มบรรทัดโค้ดต่อไปนี้ที่ท้ายไฟล์ .htaccess ของคุณ:

ชุดส่วนหัว X-XSS-Protection “1; mode=block”

บันทึกไฟล์

ขั้นตอนที่ 4:ตรวจสอบว่าส่วนหัวตอบกลับ HTTP ใช้งานได้หรือไม่

เราขอแนะนำให้ไปที่ส่วนหัวความปลอดภัยเพื่อสแกนเว็บไซต์ของคุณเพื่อตรวจสอบว่าส่วนหัวนั้นใช้งานได้หรือไม่

และนั่นแหล่ะ คุณได้เพิ่มชั้นการรักษาความปลอดภัยให้กับเว็บไซต์ของคุณสำเร็จแล้วโดยใช้ส่วนหัวความปลอดภัยเพื่อบล็อกการโจมตี XSS

บทสรุป:การป้องกันการโจมตีทั้งหมด

หลังจากใช้ส่วนหัวความปลอดภัยของ WordPress เรามั่นใจว่าไซต์ของคุณปลอดภัยจากการโจมตี XSS แล้ว แต่ XSS ไม่ใช่ช่องโหว่เดียวที่ต้องกังวล เว็บไซต์ของคุณอยู่ในขอบเขตดิจิทัลที่มีความเสี่ยงมากมาย เช่น การแฮ็กและการติดมัลแวร์

คุณต้องใช้มาตรการรักษาความปลอดภัยที่เพียงพอเพื่อบล็อกความพยายามในการแฮ็กและปกป้องเว็บไซต์ของคุณ ติดตั้ง MalCare เพื่อรับการป้องกันแบบรอบด้านสำหรับไซต์ WordPress ของคุณ มันจะสแกนและตรวจสอบเว็บไซต์ของคุณอย่างสม่ำเสมอ นอกจากนี้ยังมีไฟร์วอลล์ที่จะบล็อกที่อยู่ IP ที่เป็นอันตราย ด้วยการติดตั้ง MalCare คุณสามารถมั่นใจได้ว่าเว็บไซต์ของคุณปลอดภัย คุณสามารถตรวจสอบคำแนะนำของเราเกี่ยวกับวิธีรักษาความปลอดภัยให้กับไซต์ WordPress ของคุณได้

ปกป้องเว็บไซต์ WordPress ของคุณด้วย MalCare