XSS saldırılarının genellikle "script" bazlı yapıldığı dile getirilebilir. WordPress'te elbette düşük seviyede yetkisi bulunan bir üye veya ziyaretçi v.b. yorum formunda örneğin, bu tip bir etiketi çalıştıramaz. Ancak "administrator" ve "editor" yetkisine sahip kullanıcılar, yazı bölümünde ve yorum formunda bu tip HTML etiketlerini de kullanabilmektedir. Dolayısı ile eğer ki, sitenizde ilgili HTML etiketlerini kullanmıyorsanız, daha doğrusu, içeriklere dışarıdan bir script eklemiyor iseniz, spesifik HTML etiketlerine de ihtiyacınız yok ise, aşağıdaki kodu, ana dizinde yer alan wp-config.php dosyasına ekleyerek, sitenizdeki tüm kullanıcıların bu yöndeki yetkisini sınırlandırabilirsiniz.
AYRICA: WordPress'te Tema Güvenliği için Önemli Çözüm
WordPress XSS Saldırılarından Korunmanın Etkili Yöntemi
define('DISALLOW_UNFILTERED_HTML', true);
Not: Yukarıdaki kod, administrator kullanıcısı dahil, site genelinde yetki sınırlandırması sağlar. Dolayısı ile yazı içerisine, iframe ve embed gibi video kodları ekler iken de, bunların artık çalışamayacağını hatırlatmak isteriz. Bu gibi durumlarda ise videoları, WordPress'in oEmbed özelliği ile eklemeyi düşünebilirsiniz. Yukarıdaki kodun kullanım kararı size ait olacaktır.
Yorum bulunmamaktadır.