Blog
Cum să îți protejezi site-ul de atacuri de tip SQL Injection și XSS

Cum să îți protejezi site-ul de atacuri de tip SQL Injection și XSS

SQL Injection și Cross-Site Scripting (XSS) sunt două dintre cele mai frecvente și mai periculoase tipuri de atacuri web care afectează site-urile WordPress. Un atac reușit poate duce la furtul datelor utilizatorilor, injectarea de conținut malițios, penalizare SEO din partea Google și pierderea completă a controlului asupra site-ului.

Vă prezentăm măsurile concrete de protecție împotriva acestor atacuri.

Cum să îți protejezi site-ul de atacuri de tip SQL Injection și XSS

SQL Injection exploatează vulnerabilitățile din formulare și URL-uri pentru a executa interogări SQL malițioase direct în baza de date. XSS injectează scripturi JavaScript în paginile site-ului pentru a fura date sau a redirecționa utilizatorii. Ambele atacuri exploatează validarea insuficientă a inputului utilizatorilor.

Protecția împotriva SQL Injection

Actualizarea constantă a WordPress și plugin-urilor

Marea majoritate a vulnerabilităților SQL Injection exploatate activ sunt din versiuni vechi de WordPress sau plugin-uri. Actualizarea imediată după lansarea patch-urilor de securitate elimină vulnerabilitățile cunoscute.

Configurarea corectă a prefixului tabelelor

Tabelele WordPress cu prefixul implicit wp_ sunt mai ușor de targetat în atacurile SQL Injection automatizate. Schimbă prefixul în wp-config.php:

// In wp-config.php
$table_prefix = 'x7k2_'; // Prefix unic, greu de ghicit

Restricționarea accesului la wp-admin

Limitează accesul la panoul de administrare la IP-uri specifice prin .htaccess:

<Files wp-login.php>
  Order deny,allow
  Deny from all
  Allow from IP_TAU_STATIC
</Files>

Protecția împotriva XSS

Content Security Policy (CSP)

Headerul HTTP Content-Security-Policy previne execuția scripturilor din surse neautorizate, blocând eficient atacurile XSS. Configurare în .htaccess:

Header set Content-Security-Policy "default-src 'self';   script-src 'self' 'unsafe-inline' https://trusted-cdn.com;   style-src 'self' 'unsafe-inline'"

Headerele de securitate HTTP

Activează headerele de securitate esențiale:

Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-XSS-Protection "1; mode=block"
Header always set Referrer-Policy "strict-origin-when-cross-origin"

Plugin-uri de securitate recomandate

  • Wordfence Security: firewall aplicație web (WAF) cu reguli actualizate în timp real contra SQL Injection și XSS
  • iThemes Security: scanare de vulnerabilități și întărire WordPress
  • WP Cerber: protecție specializată pentru WordPress cu reguli anti-spam și anti-bot

Monitorizarea și detectarea atacurilor

Configurează monitorizarea log-urilor pentru a detecta tentative de atac:

# Filtrare atacuri SQL Injection din log-uri Apache
grep -i "union\|select\|insert\|drop\|delete\|update" /var/log/apache2/access.log

Concluzie

Protecția împotriva SQL Injection și XSS nu este opțională pentru niciun site cu date de utilizatori sau cu trafic semnificativ. Implementarea măsurilor descrise reduce drastic suprafața de atac și protejează atât datele, cât și reputația SEO a site-ului.

Descoperă mai multe măsuri de securitate pentru WordPress pe blogul InfoSEO.

Related Posts

Back To Top
Search