• Категории
  • Подписка
  • Разместить статью
10/07/10 26 605 Безопасность скриптов
-

Защита WordPress от XSS

Задача данного метода — защитить переменные GLOBALS и _REQUEST от несанкционированной модификации. Для этого мы будем использовать файл .htaccess, который находиться в корне сайта. Перед тем, как вносить изменения, обязательно сделайте резервную копию этого файла. После чего откройте любой текстовый редактор (см. scite.ruteam.ru) и вставьте следующее:

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Данный код осуществляет проверку всех запросов на наличие ненадежных JavaScript-ов (ищет тег <script>), а также попытки изменения переменных GLOBALS и _REQUEST и в случае обнаружения взлома выдает злоумышленнику ошибку 403.


26 комментариев на «“Защита WordPress от XSS”»

  1. Ивашка:

    Из-за того что WordPress является популярным движком, это его и недостаток, частые попытки взлома. Хорошо что поддержка движка активная, уязвимости быстро убирают, но ваш код надо поставить.

  2. А сейчас актуально это? или что из последних новинок по защите использовать, подскажите?

  3. Вордпресс очень хорошо развит и в принципе закрытия ошибок проходит очень быстро. Сейчас нужно сильно постараться для его взлома…

Добавить комментарий

Яндекс.Метрика