В прошлых статьях мы узнали как настроить htaccess для ЧПУ и создать свой вход в админку WP. Теперь мы будем использовать его (.htaccess) в целях защиты нашего блога от XSS атак.
Если мы разберем аббревиатуру XSS, получим Сross Site Sсriрting («межсайтовый скриптинг»). Скриптинг называют XSS, а не СSS, так как СSS введена намного раньше и означает она Сasсading Style Sheets – «каскадные таблицы стилей». Сross – это «крест», потому первая буква в «межсайтовом скриптинге» заменена именно на «X».
XSS – ни что иное, как слабое место на сервере, позволяющая внедрить в генерируемую скриптами на сервере HTML-страницу произвольный код путём передачи его в качестве значения нефильтруемой переменной.
Продвинутые люди, знающие что такое GEТ- и POSТ- запросы, всегда пытались защитить эти запросы. Это безусловно необходимо, но не достаточно.
Наша задача защитить сайт от XSS-атак и попыток модификации переменных GLОBALS и _REQUESТ.
Для решения задачи «xss wordpress» мы воспользуемся кодом, который блокирует попытки модифицировать переменные GLOBALS и _REQUEST.
Вставляем код в файл .htaccess который мы недавно создавали. Перед этим желательно сохранить копию данного файла, а то всякое может случиться…
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS (=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST (=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
Что нам это дает?
Данный скрипт проверяет все запросы. И в разе, если запрос, не дай бог, имеет в наличии ненадежные JavaScript-ы или тег .script> , то есть попытка модифицировать значение переменных GLОBALS и REQUESТ, он просто блокирует его и посылает пользователя на три веселых цифры, то есть на 403-ю ошибку.