Protejați site-ul WordPress de XSS, Clickjacking și alte atacuri
Securizarea site-ului dvs. este esențială pentru prezența afacerii dvs. online. În weekend, am făcut o scanare de securitate pe site-ul meu WordPress prin Acunetix și Netsparker și am găsit următoarele vulnerabilități.
- Lipsește antetul X-Frame-Options
- Cookie-ul nu este marcat ca HttpOnly
- Cookie fără set de steag Secure
Dacă sunteți pe găzduire dedicată Cloud sau VPS, puteți injecta direct aceste anteturi în Apache sau Nginx pentru a le atenua. Cu toate acestea, pentru a face acest lucru direct în WordPress – puteți face următoarele.
Notă: după implementare, puteți utiliza instrumentul Secure Headers Test pentru a verifica rezultatele.
Dacă acest lucru este injectat în antet, va preveni Clickjacking atacuri. Mai jos a fost descoperit de Netsparker.
Soluţie:
- Accesați calea în care este instalat WordPress. Dacă ești pe hosting partajatvă puteți conecta la cPanel >> File Manager
- Faceți o copie de rezervă a wp-config.php
- Editați fișierul și adăugați următoarea linie
header('X-Frame-Options: SAMEORIGIN');
- Salvați și reîmprospătați site-ul pentru verificare.
Cookie cu HTTPOnly și Secure flag în WordPress
Având Cookie cu HTTPOnly instrucționează browserul să aibă încredere în cookie-ul numai de către server, ceea ce adaugă un strat de protecție împotriva atacurilor XSS.
Indicatorul securizat din cookie indică browser-ului că cookie-ul este accesibil prin canale SSL securizate, care adaugă un strat de protecție pentru cookie-ul de sesiune.
Notă: aceasta ar funcționa pe site-ul web HTTPS. Dacă încă sunteți pe HTTP, puteți lua în considerare trecerea la HTTPS pentru o mai bună securitate.
Soluţie:
- Faceți o copie de rezervă a wp-config.php
- Editați fișierul și adăugați următoarea linie
@ini_set('session.cookie_httponly', true); @ini_set('session.cookie_secure', true); @ini_set('session.use_only_cookies', true);
- Salvați fișierul și reîmprospătați site-ul web pentru a-l verifica.
Dacă nu vă place să piratați codul, atunci, alternativ, puteți utiliza Plugin Shieldcare vă va ajuta să blocați iFrame și să vă protejați de atacurile XSS.
După ce instalați pluginul, accesați antetele HTTP și activați-le.
Sper că cele de mai sus vă vor ajuta în atenuarea vulnerabilităților WordPress.
Așteaptă înainte să pleci…
Doriți să implementați anteturi mai sigure?
Există 10 anteturi sigure recomandate de OWASP și, dacă utilizați VPS sau Cloud, consultați acest ghid de implementare pentru Apache și Nginx. Cu toate acestea, dacă pe găzduire partajată sau doriți să o faceți în WordPress, atunci încercați acest lucru conecteaza.
Concluzie
Securizarea unui site este o provocare și necesită eforturi continue. Dacă doriți să descărcați durerea de cap de securitate expertului, atunci puteți încerca SUCURI WAFcare asigură protecția completă a site-ului web și performanța dvs.
Ți-a plăcut să citești articolul? Ce zici de împărtășirea cu lumea?