あなたがあなたのWordPressサイトのセキュリティチェックを常に迂回するならば、おそらくあなたはクロススクリプト攻撃の犠牲になるでしょう。非常に多くのウェブサイトがそのような攻撃の犠牲になっています、そしてそれのすべての余波はかなり壊滅的です。

XSSとは

XSSまたはクロススクリプトサイトは、悪質なJavaScriptコードをWebサイトのHTMLページに挿入するバグです。専門家によると、XSSのバグがあなたのWordPressのコンテンツ、プラグイン、およびそれに含まれるすべての他の機能に感染する可能性があるのは約5,237です。グーグルは最近、そのような攻撃の1000以上がWordPressだけを標的としていることを発見しました。その理由は、コンテンツ管理システムとしての人気のためです。

WebサイトをXSS攻撃からどのように保護しますか？

予防は常に治療よりも優れているため、プロンプトが表示されたら管理者として常にセキュリティチェックを実行する必要があります。 Web開発者は何年もの間XSS攻撃と戦ってきました。標準的な解決策はCSPの導入です。

CSPはコンテンツセキュリティポリシーとも呼ばれ、XSS攻撃やペイロード攻撃に対する防御手段として機能するプロトコルです。しかし、攻撃者がこの新しいシステム内で悪用可能な抜け穴を発見したことが最近発見されました。 CSPはプロトコルとして非常に柔軟であることがわかりました。つまり、外部スクリプトをロードしたドメインはコードパターンを置き去りにしました。攻撃者はこれらのパターンを拾い上げてCSP保護を無効にし、最終的にWebサイトにXSSバグを感染させる可能性があります。

グーグルは新しい解決策を持っている

Vulnerability Rewardプログラムで証明されているように、GoogleはXSS問題との闘いの最前線にいて、問題を軽減するための2つの新しいツールを明らかにしました。これら2つの解決策は、すなわちCSPエバリュエータとCSPミティゲータです。

CSPエバリュエータは、悪用される可能性があるCSPプロトコル内の新しい抜け穴をWeb開発者に明らかにする診断ツールとして機能します。一方、CSP Mitigatorは、クリーニングツールとして機能するクロム製のエクステンションです。基本的には、既存のコンテンツセキュリティポリシーを強化しますが、今回はXSSバグを排除するために十分なセキュリティでプロトコルを強化します。

安全を確保するために、WordPressで定期的にセキュリティチェックを実行することをお勧めします。ただし、攻撃の被害者である可能性があると思われる場合は、これらのツール（CSPエバリュエータおよびCSPミティゲータ）が提供されます。