XSS Attacks (Cross-site scripting)
Mensaje error WPToolkit
Multiple themes for WordPress are vulnerable to Reflected Cross-Site Scripting via the ‘id’ parameter found in the ‘[different-value]_customizer_notify_dismiss_action’ and ‘[different-value]_customizer_notify_dismiss_recommended_plugins’ AJAX actions in various versions due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick a user into performing an action such as clicking on a link. The following are additional known variants of the AJAX actions: ‘[different-value]_customizer_notify_dismiss_recommended_action_callback’ & ‘[different-value]_customizer_notify_dismiss_recommended_plugins_callback’
Medida de seguridad 1: agregar el siguiente código a tu archivo .htaccess en el directorio raíz de WP
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
Medida de seguridad 2:
Los ataques XSS permiten a los atacantes inyectar código JavaScript malicioso en las páginas de su sitio web, lo que puede resultar en robo de datos o acciones no autorizadas. En este tipo de ataque, las vulnerabilidades de la web suelen aprovecharse para insertar código malicioso, lo que les permite tomar el control del sitio web o robar información confidencial de los usuarios que visitan el sitio.
Para evitar estos ataques, asegúrese de validar y filtrar adecuadamente las entradas de los usuarios y utilizar medidas de seguridad como la Política de seguridad de contenido (CSP).
Un administrador del sitio web desea que todo el contenido provenga del mismo origen que el del sitio (esto excluye subdominios).
Ejemplo 1
Un administrador del sitio web desea que todo el contenido provenga del mismo origen que el del sitio (esto excluye subdominios).
Content-Security-Policy: default-src ‘self’
Ejemplo 2
El administrador de un sitio web desea permitir el contenido de un dominio de confianza y todos sus subdominios (no tiene que ser el mismo dominio en el que está configurado el CSP).
Ejemplo 3
Content-Security-Policy: default-src 'self' *.trusted.com
El administrador de un sitio web desea permitir que los usuarios de una aplicación web incluyan imágenes de cualquier origen en su propio contenido, pero restringen los medios de audio o video a proveedores de confianza, y todas las secuencias de comandos solo a un servidor específico que aloja un código de confianza.
Content-Security-Policy: default-src 'self'; img-src *; media-src media1.com media2.com; script-src userscripts.example.com