Защита WordPress от XSS
Задача данного метода — защитить переменные GLOBALS и _REQUEST от несанкционированной модификации. Для этого мы будем использовать файл .htaccess, который находиться в корне сайта. Перед тем, как вносить изменения, обязательно сделайте резервную копию этого файла. После чего откройте любой текстовый редактор и вставьте следующее:
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
Данный код осуществляет проверку всех запросов на наличие ненадежных JavaScript-ов (ищет тег <script>), а также попытки изменения переменных GLOBALS и _REQUEST и в случае обнаружения взлома выдает злоумышленнику ошибку 403.
Из-за того что WordPress является популярным движком, это его и недостаток, частые попытки взлома. Хорошо что поддержка движка активная, уязвимости быстро убирают, но ваш код надо поставить.
А сейчас актуально это? или что из последних новинок по защите использовать, подскажите?
ну если и найдут, то быстро уберут. в админке обновления проверяйте чаще.
Вордпресс очень хорошо развит и в принципе закрытия ошибок проходит очень быстро. Сейчас нужно сильно постараться для его взлома…
Скажите последнее обновления ВП, что-то сделало с моим плагином по защите… Он пишет, что не совместим… Что мне теперь делать с этим?
Данная защита весьма спорная.