Anti-XSS attack - предупреждение и защита от XSS-атак Вашего блога
Как работает плагин Anti-XSS attack?
Если на сайт приходят данные в wp-admin, то проверяется реферер. Если это _GET (то есть в виде url) и реферер не совпадает с адресом вашего сайта, то выполнение скрипта останавливается и выводится сообщение с ссылкой, по которой можно подтвердить действие.
Если же данные передаюся в скрытом виде (_POST) и реферер не совпадает с вашим сайтом, то выполнение скрипта просто прекращается.
paranoja-401-27: добавлен редирект на главную для пользователей ниже 2-го уровня (авторы). Желающие могут легко поднять до 7-го (редакторы).
По-прежнему используются $_SERVER['PHP_AUTH_USER'] и $_SERVER['PHP_AUTH_PW'], что в переводе на почти русский означает: если PHP работает как CGI, а не модуль Апача, плагин может не получить от сервера авторизационные данные и соответственно не пустить никого в админпанель.
Установка
поместите файл anti-xss-attack.php в папку с плагинами wp-content/plugins/ активируйте, все готово, плагин работает
Если у вас в браузере отключена передача referer, то все ваши действия WordPress будет воспринимать как XSS-атаку.
Скачать paranoja-401-27.rar
Как работает плагин Anti-XSS attack?
Если на сайт приходят данные в wp-admin, то проверяется реферер. Если это _GET (то есть в виде url) и реферер не совпадает с адресом вашего сайта, то выполнение скрипта останавливается и выводится сообщение с ссылкой, по которой можно подтвердить действие.
Если же данные передаюся в скрытом виде (_POST) и реферер не совпадает с вашим сайтом, то выполнение скрипта просто прекращается.
paranoja-401-27: добавлен редирект на главную для пользователей ниже 2-го уровня (авторы). Желающие могут легко поднять до 7-го (редакторы).
По-прежнему используются $_SERVER['PHP_AUTH_USER'] и $_SERVER['PHP_AUTH_PW'], что в переводе на почти русский означает: если PHP работает как CGI, а не модуль Апача, плагин может не получить от сервера авторизационные данные и соответственно не пустить никого в админпанель.
Установка
поместите файл anti-xss-attack.php в папку с плагинами wp-content/plugins/ активируйте, все готово, плагин работает
Если у вас в браузере отключена передача referer, то все ваши действия WordPress будет воспринимать как XSS-атаку.
Скачать paranoja-401-27.rar