03/28/2024

WordPress securizat cu opțiuni X-Frame și cookie HTTPOnly

Protejați site-ul WordPress de XSS, Clickjacking și alte atacuri

Securizarea site-ului dvs. este esențială pentru prezența afacerii dvs. online. În weekend, am făcut o scanare de securitate pe site-ul meu WordPress prin Acunetix și Netsparker și am găsit următoarele vulnerabilități.

  • Lipsește antetul X-Frame-Options
  • Cookie-ul nu este marcat ca HttpOnly
  • Cookie fără set de steag Secure

Dacă sunteți pe găzduire dedicată Cloud sau VPS, puteți injecta direct aceste anteturi în Apache sau Nginx pentru a le atenua. Cu toate acestea, pentru a face acest lucru direct în WordPress – puteți face următoarele.

Notă: după implementare, puteți utiliza instrumentul Secure Headers Test pentru a verifica rezultatele.

Dacă acest lucru este injectat în antet, va preveni Clickjacking atacuri. Mai jos a fost descoperit de Netsparker.

Soluţie:

  • Accesați calea în care este instalat WordPress. Dacă ești pe hosting partajatvă puteți conecta la cPanel >> File Manager
  • Faceți o copie de rezervă a wp-config.php
  • Editați fișierul și adăugați următoarea linie
header('X-Frame-Options: SAMEORIGIN');
  • Salvați și reîmprospătați site-ul pentru verificare.

Având Cookie cu HTTPOnly instrucționează browserul să aibă încredere în cookie-ul numai de către server, ceea ce adaugă un strat de protecție împotriva atacurilor XSS.

Indicatorul securizat din cookie indică browser-ului că cookie-ul este accesibil prin canale SSL securizate, care adaugă un strat de protecție pentru cookie-ul de sesiune.

Notă: aceasta ar funcționa pe site-ul web HTTPS. Dacă încă sunteți pe HTTP, puteți lua în considerare trecerea la HTTPS pentru o mai bună securitate.

Soluţie:

  • Faceți o copie de rezervă a wp-config.php
  • Editați fișierul și adăugați următoarea linie
@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);
  • Salvați fișierul și reîmprospătați site-ul web pentru a-l verifica.
  Top 10 alternative pentru depozitul Kodi Fusion

Dacă nu vă place să piratați codul, atunci, alternativ, puteți utiliza Plugin Shieldcare vă va ajuta să blocați iFrame și să vă protejați de atacurile XSS.

După ce instalați pluginul, accesați antetele HTTP și activați-le.

Sper că cele de mai sus vă vor ajuta în atenuarea vulnerabilităților WordPress.

Așteaptă înainte să pleci…

Doriți să implementați anteturi mai sigure?

Există 10 anteturi sigure recomandate de OWASP și, dacă utilizați VPS sau Cloud, consultați acest ghid de implementare pentru Apache și Nginx. Cu toate acestea, dacă pe găzduire partajată sau doriți să o faceți în WordPress, atunci încercați acest lucru conecteaza.

Concluzie

Securizarea unui site este o provocare și necesită eforturi continue. Dacă doriți să descărcați durerea de cap de securitate expertului, atunci puteți încerca SUCURI WAFcare asigură protecția completă a site-ului web și performanța dvs.

Ți-a plăcut să citești articolul? Ce zici de împărtășirea cu lumea?

x