WordPress'te X-XSS HTTP Güvenlik Başlıkları Nasıl Kurulur?

admin Haberler Leave a comment 6 Views


Web siteniz yavaşladı ve trafiğiniz sebepsiz yere düştü mü? Web siteniz istenmeyen reklamlar mı gösteriyor? Eklemediğiniz pop-up'lar mı görüyorsunuz? Belki WordPress'te X-XSS korumasına ihtiyacınız vardır.

Bu, WordPress sitenize yapılan bir XSS saldırısının sonucu olabilir. Bu saldırılar oldukça yaygındır, ancak yıkıcı bir etkisi vardır.

CVE Ayrıntıları, 2009'dan bu yana 9.903 büyük XSS saldırısı kaydetti. Ancak bu saldırıların kaçının rapor edilmediğini söylemek mümkün değil.

Bilgisayar korsanları, verileri çalmak, kendi reklamlarını (genellikle yasa dışı uyuşturucular veya yetişkinlere uygun içerikten oluşan) görüntülemek, müşterilerinizi dolandırmak için uzun bir kötü niyetli faaliyetler listesi arasında XSS istismarını kullanır.

Ancak endişelenmeyi bırakabilirsiniz çünkü web sitenizi XSS'ye karşı kolayca korumanın yolları vardır. Bugün, herhangi bir XSS girişimini zorla engelleyeceğinden , WordPress'e X-XSS koruma başlıklarının nasıl ekleneceğine bir göz atacağız.

Bu yanıt başlıklarının ne olduğunu ve nasıl uygulanacağını öğreneceksiniz. Bunu yayınlayın, ayrıca WordPress web sitenizi XSS ve diğer saldırılara karşı sağlam kılmak için birkaç WordPress güvenlik ipucu daha vereceğiz!

TL; DR – Hepsi Bir Arada MalCare Güvenlik Çözümümüzle WordPress web sitenizi XSS saldırılarına ve diğer kötü amaçlı yazılım türlerine karşı koruyun. Eklentiyi WordPress web sitenize yükleyin ve sitenizin kötü niyetli saldırılara karşı korunması için düzenli olarak izlendiğinden ve tarandığından emin olun.

İçindekiler gizle
WordPress'te XSS (Siteler Arası Komut Dosyası Oluşturma) nedir?
HTTP Güvenlik Başlıkları Nelerdir?
HTTP Güvenlik Başlığında X-XSS Koruması Nasıl Kurulur
Sonuç: Tüm Saldırılara Karşı Koruma

WordPress'te XSS (Siteler Arası Komut Dosyası Oluşturma) nedir?

Siteler arası komut dosyası çalıştırma (XSS), bilgisayar korsanlarının bir web sitesindeki kullanıcı girişlerinden kaynaklanan güvenlik açıklarından yararlandığı bir tür enjeksiyon saldırısıdır. Kullanıcı girişi, site arama çubuğu, yorumlar bölümü, iletişim formu veya oturum açma alanı gibi web sitesi kullanıcısından gelen verileri kabul eden herhangi bir alan olabilir.

Kullanıcının bu alanlara ne tür bilgiler girebileceğinden çeşitli şekillerde yararlanırlar. Bu nedenle, farklı çapraz komut dosyası saldırıları türleri vardır. Burada en yaygın iki XSS saldırısını detaylandıracağız:

Depolanmış veya Kalıcı XSS ​​Saldırısı

Bu tür bir saldırı, bir web sitesinin ziyaretçilerini hedefler. Bunun nasıl olduğuna bir göz atalım.

Örneksite.com'un web sitelerindeki kullanıcı girdilerini blog gönderilerine yapılan yorumlar şeklinde kabul ettiğini varsayalım. Bir ziyaretçi, bir gönderiye yorum bırakarak düşüncelerini paylaşabilir ve soru sorabilir. Yorum gönderildikten sonra veritabanına gönderilir ve saklanır.

Tipik olarak, bu yorumlar alanı, verileri veritabanına gönderilmeden önce doğrulamak için yapılandırmalara sahip olmalıdır.

Ancak konfigürasyonlar doğru değilse, normal bir metin yorumu ile bir kod satırı arasında ayrım yapamaz.

Diyelim ki bir bilgisayar korsanı bu sitenin yorumlar bölümünün herhangi bir girişi kabul ettiğini anladı. Bir JavaScript kodu girebilirler ancak çıktı normal bir yorum gibi görünür.

wordpress'te x-xss'yi korumak için javascript kodu

Web sitesi sahibinin fark etmeyebileceği şey, bilgisayar korsanının ideal olarak izin verilmemesi gereken bir "Beni tıkla" düğmesine de girebilmesidir.

Ardından, web sitesinin düzenli bir ziyaretçisi (hedef) bu sayfaya gelir. Bu kullanıcı düğmeye tıklarsa, kötü amaçlı kod çalışır ve ziyaretçinin tarayıcısına bulaşır. Bilgisayar korsanı daha sonra ziyaretçinin tarayıcı çerezlerinden veri alabilecektir.

Çerezler, saklanan oturum açma kimlik bilgileri, kredi kartı bilgileri veya kişisel veriler gibi her türlü bilgiyi saklar. Bir web sitesinde oturum açtığınızda, tarayıcının şifreyi hatırlamasını isteyip istemediğinizi soran şuna benzer bir açılır pencere görürsünüz:

şifreyi kaydet

Artık normal bir kullanıcı (hedef) genellikle Facebook, e-posta, alışveriş sitesi, iş web sitesi, YouTube vb. gibi bir tarayıcıda birden fazla sekme açar. Bir bilgisayar korsanı bir XSS saldırısı gerçekleştirebilirse, tüm sitelerin çerezleri tarayıcıda açılır. Bu yüzden buna 'siteler arası' denir. Bu bilgileri müşteriyi dolandırmak veya daha büyük saldırılar gerçekleştirmek için kullanırlar.

Bu saldırı web sitenizi doğrudan etkilemese de ciddi yansımaları vardır. Ziyaretçilerinizin her birini tehlikeye atar. Ayrıca, Google sitenizi kara listeye almak için hızlı olacak ve web barındırıcınız barındırma hesabınızı askıya alacaktır.

Yansıtıcı veya Kalıcı Olmayan XSS Saldırısı

Bu saldırıda, bilgisayar korsanları erişim elde etmek için web sitesinin kendisini hedefler. Bunun nasıl çalıştığını size gösterelim:

Web sitenizde, müşterilerin istediklerini hızla bulabilecekleri bir arama sekmesi olduğunu varsayalım. Bu sekme ideal olarak yalnızca alfabenin harflerini kabul etmelidir. Ancak doğru yapılandırılmamış ve özel karakterleri ve sayıları da kabul ediyor. Sitenin arama motoru, kullanıcıdan gelen metin girişi ile bir bilgisayar korsanı tarafından yapılan kötü amaçlı kod girişi arasında ayrım yapamaz.

Eklendikten sonra, kötü amaçlı kod web sitesinin veritabanına gider ve yürütülür. Bu olduğunda, bilgisayar korsanı web sitesine erişim kazanır ve kötü niyetli eylemlerini gerçekleştirmeye başlayabilir! Daha da kötüsü, DDoS saldırısı gibi daha büyük hack saldırıları başlatmak için web sitenizi kullanabilirler.

Artık bir XSS saldırısının ne kadar şiddetli olabileceğini ve web sitelerimizi neden bundan korumamız gerektiğini biliyoruz. Öyleyse HTTP güvenlik başlıklarının neden XSS saldırılarını önlediğini inceleyelim.

HTTP Güvenlik Başlıkları Nelerdir?

HTTP, Köprü Metni aktarım protokolü anlamına gelir ve mesajların internet üzerinden nasıl biçimlendirildiğini ve iletildiğini tanımlar.

Google Chrome veya Mozilla Firefox gibi modern web tarayıcılarında kodlanmış HTTP yanıt başlıkları bulunur. Bu HTTP güvenli üstbilgileri genellikle durum hata kodları, içerik kodlama, içerik güvenliği ve önbellek denetimi gibi meta verilerden oluşur.

Yanıt başlığı, tarayıcıya bir web sitesiyle etkileşime girdiğinde nasıl davranması gerektiği konusunda talimat verir. Örneğin, bir kullanıcı Google Chrome'u açar ve bir web sitesini ziyaret eder, HTTP başlıkları burada tarayıcının, web sitesinin ve web sunucusunun nasıl iletişim kurduğunu belirlemede rol oynar.

Bunu daha iyi anlamanıza yardımcı olmak için böyle bir HTTP yanıt başlığını açıklayacağız.

Web sitenize bir SSL veya TLS sertifikası ayarladıysanız, web sitenize yalnızca HTTPS üzerinden erişilebilir (bu, aktarılırken verileri şifreleyen güvenli bir bağlantıdır). Ancak bilgisayar korsanları sitenize HTTP üzerinden erişmenin yollarını bulabilir. İnternette, bir bilgisayar korsanının sitenizi HTTP üzerinden açmak ve veri çalmak için kullanabileceği birkaç komut dosyası vardır.

SSL sertifikanızı güçlendirmek ve sitenize asla HTTP üzerinden erişilmemesini sağlamak için 'katı aktarım güvenliği' adlı bir yanıt başlığı ekleyebilirsiniz. Bu, Safari, Chrome ve Firefox gibi en son tarayıcıların tümünü web sitenizle yalnızca HTTPS üzerinden iletişim kurmaya zorlayacaktır. Bu, içerik koklama ve paket koklama olasılığını ortadan kaldırır.

Bir saldırgan sitenizi HTTP üzerinden açmaya çalışırsa, tarayıcı sayfayı yüklemez.

WordPress web sitenize ekleyebileceğiniz farklı HTTP güvenlik başlıkları vardır. Bugün, siteler arası komut dosyası çalıştırmayı azaltacak/önleyecek X-XSS Korumasına odaklanıyoruz.

HTTP Güvenlik Başlığında X-XSS Koruması Nasıl Kurulur

HTTP Güvenlik Başlıklarını ayarlamak için .htaccess dosyasına erişmeniz ve dosyayı düzenlemeniz ve kod satırları eklemeniz gerekir. WordPress dosyalarını herhangi bir zamanda değiştirmek yüksek risk taşır. Küçük bir yanlış adım, tamamen bozuk bir web sitesine yol açabilir.

Bu nedenle, WordPress sitenizin tam bir yedeğini almanızı şiddetle tavsiye ederiz . Web sitenizin tam yedeğini birkaç dakikadan kısa bir sürede almak için BlogVault eklentisini kullanabilirsiniz. Bu işlem sırasında bir şeyler ters giderse, web sitenizi hızlı bir şekilde normale döndürebilirsiniz.

WordPress dosyalarını değiştirmeden önce WordPress web sitenizin yedeğini alın. BlogVault ile güvenilir bir yedek alabilirsiniz. Tweetlemek için tıklayın

1. Adım: Başlığın Var Olup Olmadığını Kontrol Etmek İçin Web Sitenizi Tara

Web sitenizde üstbilginin zaten etkin olup olmadığını kontrol etmenizi öneririz. Yönetilen WordPress sunucunuza danışabilir veya securityheaders.com gibi bir web sitesi kullanabilirsiniz.

Web sitenizin URL'sini girin ve şimdi tarayın. Şunun gibi bir rapor göreceksiniz:

wordpress'te x-xss koruması için güvenlik raporu özeti

X-XSS koruma başlığı seti olmadığından emin olabiliriz.

Not: Tarayıcıların çoğunda varsayılan olarak X-XSS koruması etkindir. Ancak bu güvenlik başlığını WordPress'e eklemek, tarayıcıya XSS hack girişimlerini engelleme talimatı verecektir.

2. Adım: WordPress .htaccess Dosyanıza Erişin

WordPress barındırma hesabınıza giriş yapın. Burada cPanel > Dosya Yöneticisi'ne gidin.

dosya yöneticisi cpaneli

İçeride, bir klasör listesi bulacaksınız. Sağ panelde public_html klasörünü bulun. .htaccess dosyasını burada bulacaksınız.

genel html dosya yöneticisi

İpucu: .htaccess dosyasını göremiyorsanız, ayarlara gidin ve “gizli dosyaları göster”i seçin.

3. Adım: WordPress Güvenlik Başlığını Ekleyin

Bu dosyayı düzenlemek için üzerine sağ tıklayın ve düzenleme seçeneğini göreceksiniz.

htaccess dosyasını düzenle

.htaccess dosyanızın sonuna aşağıdaki kod satırını ekleyin:

Başlık seti X-XSS-Koruma “1; mod=blok”

Dosya 'yı kaydet.

4. Adım: HTTP Yanıt Başlığının Çalışıp Çalışmadığını Kontrol Edin

Başlığın çalışıp çalışmadığını kontrol etmek için sitenizi taramak için güvenlik başlıklarını ziyaret etmenizi öneririz.

Ve bu kadar. XSS saldırılarını engellemek için güvenlik başlığını uygulayarak web sitenize başarıyla bir güvenlik katmanı eklediniz.

MalCare'den bu kılavuzu kullanarak X-XSS saldırılarını engellemek için WordPress sitemde kolayca güvenlik başlıkları kurdum. Tweetlemek için tıklayın

Sonuç: Tüm Saldırılara Karşı Koruma

Bu WordPress güvenlik başlığını uyguladıktan sonra sitenizin artık XSS saldırılarına karşı güvende olduğundan eminiz. Ancak endişelenecek tek güvenlik açığı XSS ​​değildir. Web siteniz, bilgisayar korsanlığı ve kötü amaçlı yazılım bulaşması gibi bir dizi riske maruz kaldığı dijital bir alemde bulunuyor.

Hack girişimlerini engellemek ve web sitenizi korumak için geniş güvenlik önlemleri almanız gerekir. WordPress siteniz için çok yönlü koruma elde etmek için MalCare'i yükleyin. Web sitenizi düzenli olarak tarar ve izler. Ayrıca kötü niyetli IP adreslerini engelleyecek bir güvenlik duvarı sunar. MalCare yüklendiğinde, web sitenizin güvende olduğundan emin olabilirsiniz. WordPress sitenizin güvenliğini nasıl sağlayacağınıza ilişkin kılavuzumuza göz atabilirsiniz.


 WordPress web sitenizi MalCare ile koruyun !

Copyright statement: Unless otherwise noted, this article is Collected from the Internet, please keep the source of the article when reprinting.

Tags

Check Also

Divi's Theme Builder ile Özel Global Başlık Nasıl Oluşturulur

Artık Tema Oluşturucu burada olduğuna göre, web sitenizi A'dan Z'ye kurmanıza yardımcı olacak yeni eğitimlere dalmak için sabırsızlanıyoruz. Buna Divi'nin yerleşik seçeneğini kullanarak özel başlıklar oluşturma da dahildir. Bu eğitimde Divi's Theme Builder'ı kullanarak global bir başlık oluşturmaya odaklanacağız. Bu sayfaya veya gönderiye farklı bir başlık atamadıysanız, web sitenizin her yerinde genel bir başlık görünecektir.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Powered by WordPress | Designed by TieLabs
© Copyright 2026, All Rights Reserved