웹사이트가 느려지고 트래픽이 이유 없이 떨어졌습니까? 귀하의 웹사이트에 원치 않는 광고가 표시됩니까? 삽입하지 않은 팝업이 표시됩니까? WordPress에서 X-XSS 보호가 필요할 수도 있습니다.
이것은 WordPress 사이트에 대한 XSS 공격의 결과일 수 있습니다. 이러한 공격은 매우 일반적이지만 치명적인 영향을 미칩니다.
CVE Details는 2009년 이후 9,903개의 주요 XSS 공격을 기록했습니다. 그러나 이러한 공격 중 보고되지 않은 공격이 얼마나 되는지 알 수 없습니다.
해커는 XSS 익스플로잇을 사용하여 데이터를 훔치고 자체 광고(일반적으로 불법 약물 또는 성인 콘텐츠)를 표시하고 고객을 속이는 등 다양한 악의적인 활동을 합니다.
그러나 XSS로부터 웹사이트를 쉽게 보호할 수 있는 방법이 있으므로 걱정하지 않아도 됩니다. 오늘은 WordPress에 X-XSS 보호 헤더 를 추가하는 방법을 살펴보겠습니다. XSS 시도를 강제로 차단하기 때문입니다.
이러한 응답 헤더가 무엇이고 어떻게 구현하는지 배우게 됩니다. 그 게시물을 게시하면 WordPress 웹사이트를 XSS 및 기타 모든 공격으로부터 견고하게 만들기 위한 몇 가지 추가 WordPress 보안 팁도 제공합니다!
틀;DR: 올인원 MalCare 보안 솔루션으로 WordPress 웹사이트를 XSS 공격 및 기타 모든 형태의 맬웨어로부터 보호하십시오. WordPress 웹사이트에 플러그인을 설치하고 악의적인 공격으로부터 사이트를 보호하기 위해 정기적으로 사이트를 모니터링하고 검사하므로 안심하십시오.
WordPress에서 XSS(교차 사이트 스크립팅)란 무엇입니까?
XSS(교차 사이트 스크립팅)는 해커가 웹 사이트의 사용자 입력에서 발생하는 보안 취약점을 악용하는 일종의 주입 공격입니다. 사용자 입력은 사이트 검색 표시줄, 댓글 섹션, 문의 양식 또는 로그인 필드와 같이 웹사이트 사용자의 데이터를 허용하는 모든 영역이 될 수 있습니다.
그들은 사용자가 다양한 방법으로 이러한 필드에 입력할 수 있는 정보의 종류를 활용합니다. 따라서 다양한 유형의 크로스 스크립팅 공격이 있습니다. 여기에서는 가장 일반적인 XSS 공격 두 가지에 대해 자세히 설명합니다.
저장되거나 지속되는 XSS 공격
이러한 유형의 공격은 웹사이트 방문자를 대상으로 합니다. 이것이 어떻게 일어나는지 살펴보겠습니다.
examplesite.com이 블로그 게시물에 대한 댓글 형식으로 웹사이트에서 사용자 입력을 수락한다고 가정해 보겠습니다. 방문자는 게시물에 댓글을 남겨 자신의 생각을 공유하고 질문할 수 있습니다. 댓글이 제출되면 데이터베이스로 전송되어 저장됩니다.
일반적으로 이 주석 필드에는 데이터베이스로 전송되기 전에 데이터의 유효성을 검사하는 구성이 있어야 합니다.
그러나 구성이 올바르지 않으면 일반 텍스트 주석과 코드 줄을 구분할 수 없습니다.
따라서 해커가 이 사이트의 댓글 섹션이 모든 입력을 수락한다는 것을 알아냈다고 가정해 보겠습니다. JavaScript 코드를 입력할 수 있지만 출력은 일반 주석처럼 보입니다.
웹사이트 소유자가 눈치채지 못할 수도 있는 것은 해커가 "나를 클릭하세요" 버튼도 입력할 수 있다는 점입니다. 이는 허용되지 않는 것이 좋습니다.
다음으로, 웹사이트의 일반 방문자(타겟)가 이 페이지를 방문합니다. 이 사용자가 버튼을 클릭하면 악성 코드가 실행되어 방문자의 브라우저를 감염시킵니다. 그러면 해커가 방문자의 브라우저 쿠키에서 데이터를 추출할 수 있습니다.
쿠키는 저장된 로그인 자격 증명, 신용 카드 정보 또는 개인 데이터와 같은 모든 종류의 정보를 저장합니다. 웹사이트에 로그인하면 다음과 같은 팝업이 표시되며 브라우저가 비밀번호를 기억하도록 할 것인지 묻는 메시지가 표시됩니다.
이제 일반 사용자(타겟)는 일반적으로 Facebook, 이메일, 쇼핑 사이트, 직장 웹사이트, YouTube 등과 같은 브라우저에서 여러 탭을 열어 둡니다. 해커가 XSS 공격을 실행할 수 있으면 훔쳐갈 것입니다. 모든 사이트의 쿠키는 브라우저에서 열립니다. 그래서 '크로스 사이트'라고 합니다. 그들은 이 정보를 사용하여 고객을 속이거나 더 큰 공격을 실행합니다.
이 공격은 웹사이트에 직접적인 영향을 미치지는 않지만 심각한 영향을 미칩니다. 그것은 모든 방문자를 위험에 빠뜨립니다. 또한 Google은 귀하의 사이트를 신속하게 블랙리스트에 추가하고 웹 호스트는 귀하의 호스팅 계정을 일시 중지합니다.
반사 또는 비영구 XSS 공격
이 공격에서 해커는 웹사이트 자체를 표적으로 삼아 액세스 권한을 얻습니다. 이것이 어떻게 작동하는지 보여드리겠습니다:
웹사이트에 고객이 원하는 것을 빠르게 찾을 수 있는 검색 탭이 있다고 가정해 보겠습니다. 이 탭은 이상적으로는 알파벳 문자만 허용해야 합니다. 그러나 올바르게 구성되지 않았으며 특수 문자와 숫자도 허용합니다. 사이트의 검색 엔진은 사용자가 입력한 텍스트와 해커가 입력한 악성 코드를 구분하지 못합니다.
악성 코드가 삽입되면 웹 사이트의 데이터베이스로 이동하여 실행됩니다. 그런 일이 발생하면 해커는 웹 사이트에 액세스하여 악의적인 행동을 시작할 수 있습니다! 설상가상으로, 그들은 귀하의 웹사이트를 사용하여 DDoS 공격과 같은 더 큰 해킹 공격을 시작할 수 있습니다.
이제 우리는 XSS 공격이 얼마나 심각한지 그리고 왜 우리가 웹사이트를 공격으로부터 보호해야 하는지 알게 되었습니다. HTTP 보안 헤더가 XSS 공격을 방지하는 이유에 대해 알아보겠습니다.
HTTP 보안 헤더란 무엇입니까?
HTTP는 Hypertext Transfer Protocol의 약자이며 인터넷을 통해 메시지 형식이 지정되고 전송되는 방식을 정의합니다.
Google Chrome 또는 Mozilla Firefox와 같은 최신 웹 브라우저에는 HTTP 응답 헤더가 인코딩되어 있습니다. 이러한 HTTP 보안 헤더는 일반적으로 상태 오류 코드, 콘텐츠 인코딩, 콘텐츠 보안 및 캐시 제어와 같은 메타데이터로 구성됩니다.
응답 헤더는 브라우저가 웹사이트와 상호작용할 때 어떻게 작동해야 하는지 지시합니다. 예를 들어 사용자가 Google 크롬을 열고 웹사이트를 방문하면 HTTP 헤더는 브라우저, 웹사이트 및 웹 서버가 통신하는 방식을 결정하는 역할을 합니다.
이러한 HTTP 응답 헤더 중 하나를 더 잘 이해할 수 있도록 설명하겠습니다.
웹사이트에 SSL 또는 TLS 인증서를 설정했다면 HTTPS(전송되는 데이터를 암호화하는 보안 연결)를 통해서만 웹사이트에 액세스할 수 있음을 의미합니다. 그러나 해커는 HTTP를 통해 사이트에 액세스하는 방법을 찾을 수 있습니다. 해커가 HTTP를 통해 사이트를 열고 데이터를 훔치는 데 사용할 수 있는 여러 스크립트가 인터넷에 있습니다.
SSL 인증서를 강화하고 HTTP를 통해 사이트에 액세스하지 못하도록 하려면 '엄격한 전송 보안'이라는 응답 헤더를 추가할 수 있습니다. 이렇게 하면 Safari, Chrome 및 Firefox와 같은 모든 최신 브라우저가 HTTPS를 통해서만 웹사이트와 통신하게 됩니다. 이렇게 하면 콘텐츠 스니핑 및 패킷 스니핑의 가능성이 제거됩니다.
공격자가 HTTP를 통해 사이트를 열려고 하면 브라우저는 페이지를 로드하지 않습니다.
WordPress 웹 사이트에 추가할 수 있는 다양한 HTTP 보안 헤더가 있습니다. 오늘 우리는 교차 사이트 스크립팅을 완화/방지하는 X-XSS 보호에 초점을 맞추고 있습니다.
HTTP 보안 헤더에서 X-XSS 보호를 설정하는 방법
HTTP 보안 헤더를 설정하려면 .htaccess 파일에 액세스 및 편집하고 코드 줄을 추가해야 합니다. 언제든지 WordPress 파일을 변경하는 것은 높은 위험을 수반합니다. 약간의 실수가 웹사이트를 완전히 망가뜨릴 수 있습니다.
따라서 전체 백업을 수행하는 것이 좋습니다. 워드프레스 사이트의. BlogVault 플러그인을 사용하여 몇 분 안에 웹사이트의 전체 백업을 수행할 수 있습니다. 이 과정에서 문제가 발생하면 웹사이트를 신속하게 정상 상태로 복원할 수 있습니다.
WordPress 파일을 변경하기 전에 WordPress 웹사이트를 백업하십시오. BlogVault를 사용하여 안정적인 백업을 얻을 수 있습니다. 트윗하려면 클릭1단계:웹사이트를 스캔하여 헤더가 있는지 확인
웹사이트에 이미 헤더가 활성화되어 있는지 확인하는 것이 좋습니다. 관리되는 WordPress 호스트에 확인하거나 securityheaders.com과 같은 웹사이트를 사용할 수 있습니다.
웹사이트의 URL을 입력하고 지금 스캔하세요. 다음과 같은 보고서가 표시됩니다.
X-XSS 보호 헤더 세트가 없음을 확인할 수 있습니다.
참고:대부분의 브라우저에는 기본적으로 X-XSS 보호가 활성화되어 있습니다. 그러나 이 보안 헤더를 WordPress에 추가하면 브라우저에서 XSS 해킹 시도를 차단하도록 지시합니다.
2단계:WordPress .htaccess 파일 액세스
WordPress 호스팅 계정에 로그인합니다. 여기에서 cPanel> 파일 관리자로 이동합니다.
내부에는 폴더 목록이 있습니다. 오른쪽 패널에서 public_html 을 찾습니다. 폴더. 여기에서 .htaccess 파일을 찾을 수 있습니다.
도움말:.htaccess 파일이 보이지 않는 경우 설정으로 이동하여 "숨김 파일 표시"를 선택하세요.
3단계:WordPress 보안 헤더 삽입
이 파일을 편집하려면 파일을 마우스 오른쪽 버튼으로 클릭하기만 하면 편집 옵션이 표시됩니다.
.htaccess 파일 끝에 다음 코드 줄을 추가합니다.
헤더 세트 X-XSS-Protection “1; 모드=차단”
파일을 저장합니다.
4단계:HTTP 응답 헤더가 작동하는지 확인
보안 헤더를 방문하여 사이트를 스캔하여 헤더가 작동하는지 확인하는 것이 좋습니다.
그리고 그게 다야. XSS 공격을 차단하는 보안 헤더를 구현하여 웹사이트에 보안 계층을 성공적으로 추가했습니다.
MalCare의 이 가이드를 사용하여 X-XSS 공격을 차단하기 위해 WordPress 사이트에 보안 헤더를 쉽게 설정합니다. 트윗하려면 클릭결론:모든 공격에 대한 보호
이 WordPress 보안 헤더를 구현한 후 귀하의 사이트는 이제 XSS 공격으로부터 안전하다고 확신합니다. 그러나 XSS가 걱정할 유일한 취약점은 아닙니다. 귀하의 웹사이트는 해킹 및 맬웨어 감염과 같은 엄청난 위험에 노출된 디지털 영역에 있습니다.
해킹 시도를 차단하고 웹 사이트를 보호하려면 충분한 보안 조치를 취해야 합니다. MalCare를 설치하여 WordPress 사이트를 전면적으로 보호하세요. 웹 사이트를 정기적으로 스캔하고 모니터링합니다. 또한 악성 IP 주소를 차단하는 방화벽을 제공합니다. MalCare를 설치하면 웹사이트가 안전하게 보호될 수 있습니다. WordPress 사이트를 보호하는 방법에 대한 가이드를 확인할 수 있습니다.
<강한>
으로 WordPress 웹사이트를 보호하십시오. MalCare !