Cross-Site Scripting aanvallen zijn een van de meest gebruikte methodes van cybercriminelen om websites te infiltreren. Dus je moet zorgen dat je ze te slim af bent! Wil je XSS-aanvallen in WordPress voorkomen? Met de onderstaande tips kom je al een heel eind!
XSS-aanvallen in WordPress voorkomen
#1. Blijf up-to-date wat betreft kwetsbaarheden
Je zorgt natuurlijk dat je de WordPress core, je thema’s en je plugins up-to-date houdt (lees ook: Veilig WordPress plugins updaten doe je zo!). Op die manier zorg je dat eventuele kwetsbaarheden zo snel mogelijk gepatched worden met een update, voordat cybercriminelen de kans krijgen om er misbruik van te maken. Soms komt er echter nieuws naar buiten over een kwetsbaarheid in een plugin waar niet meteen een patch beschikbaar voor is. In dat geval kun je (indien dit geen ernstige gevolgen heeft voor de werking van je site) de plugin in kwestie deactiveren en verwijderen. Op websites zoals VulDB.com worden alle geïdentificeerde kwetsbaarheden bijgehouden.
#2. Hou je statistieken in de gaten
Zoals je in onze vorige blogpost kon lezen, gaan XSS-aanvallen in WordPress vaak onopgemerkt totdat men de statistieken bekijkt en ziet dat er iets niet pluis is. Check dus regelmatig je statistieken op webverkeer, downtime en performance problemen. Of beter nog, zorg dat je automatisch een melding krijgt bij verdachte veranderingen.
#3. Gebruik een Web Application Firewall (WAF)
Een Web Application Firewall (WAF) filtert malafide verzoeken (inclusief XSS-aanvallen) voordat ze de kans krijgen om je site te bereiken. Er zijn meerdere WAFs die je kunt gebruiken, zoals Sucuri WAF en Musubu IP Threat Blocker.
#4. Voeg een http security header toe
Elke keer dat iemand je site bezoekt, reageert de server met zogeheten http response headers. Die headers vertellen web browsers hoe ze zich moeten gedragen tijdens interacties met je website. Door een speciale X-XSS-Protection header te gebruiken, wordt je website niet geladen in het geval dat er een XSS-aanval gedetecteerd wordt. Klinkt ingewikkeld, maar jij hoeft alleen maar het onderstaande stukje code toe te voegen aan het .htaccess bestand van je WordPress site:
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
</IfModule>
Tot slot
Cybercriminelen zijn slim, dus je moet zorgen dat jij slimmer bent! Neem bovenstaande tips in acht, dan kun je de meeste XSS-aanvallen in WordPress voorkomen.
