Захистіть WordPress за допомогою X-Frame-Options і HTTPOnly Cookie

Автор

Захистіть веб-сайт WordPress від XSS, Clickjacking та деяких інших атак

Безпека вашого сайту є важливою для присутності вашого бізнесу в Інтернеті. На вихідних я перевірив безпеку свого веб-сайту WordPress за допомогою Acunetix і Netsparker і виявив наступні вразливості.

  • Відсутній заголовок X-Frame-Options
  • Файл cookie не позначено як HttpOnly
  • Файл cookie без встановленого прапора безпеки

Якщо ви використовуєте виділений хмарний або VPS-хостинг, ви можете безпосередньо вставити ці заголовки в Apache або Nginx, щоб пом’якшити це. Однак, щоб зробити це безпосередньо в WordPress, ви можете зробити наступне.

Примітка: після впровадження ви можете використовувати інструмент перевірки безпечних заголовків, щоб перевірити результати.

  14 найкращих контролерів Google Stadia для покупки

Введення цього в заголовок запобіжить Клікджекінг напади. Нижче було виявлено Netsparker.

рішення:

  • Перейдіть до шляху, де встановлено WordPress. Якщо ви на спільний хостингви можете увійти в cPanel >> File Manager
  • Зробіть резервну копію wp-config.php
  • Відредагуйте файл і додайте наступний рядок
header('X-Frame-Options: SAMEORIGIN');
  • Збережіть і оновіть веб-сайт, щоб перевірити.

Наявність файлу cookie з HTTPOnly вказує браузеру довіряти файлу cookie лише серверу, що додає рівень захисту від атак XSS.

Позначка безпеки у файлі cookie вказує браузеру, що файл cookie доступний через безпечні канали SSL, які додають рівень захисту для файлу cookie сеансу.

  Як мій провайдер може визначити, що я використовую BitTorrent?

Примітка. Це працюватиме на веб-сайті HTTPS. Якщо ви все ще використовуєте HTTP, ви можете розглянути можливість переходу на HTTPS для кращої безпеки.

рішення:

  • Зробіть резервну копію wp-config.php
  • Відредагуйте файл і додайте наступний рядок
@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);
  • Збережіть файл і оновіть веб-сайт, щоб перевірити його.

Якщо вам не подобається зламувати код, то в якості альтернативи ви можете використовувати Плагін Shieldякий допоможе вам заблокувати iFrames і захистити від атак XSS.

Після встановлення плагіна перейдіть до HTTP-заголовків і ввімкніть їх.

Я сподіваюся, що наведене вище допоможе вам усунути вразливості WordPress.

Зачекайте, перш ніж йти…

  Як встановити плагін Autotune VST в Audacity

Ви хочете застосувати більш безпечні заголовки?

Існує 10 безпечних заголовків, рекомендованих OWASP, і якщо ви використовуєте VPS або Cloud, перегляньте цей посібник із впровадження для Apache та Nginx. Однак якщо ви використовуєте спільний хостинг або хочете зробити це в WordPress, спробуйте це підключати.

Висновок

Захистити сайт – це складно, і це вимагає постійних зусиль. Якщо ви хочете перекласти головний біль безпеки на експерта, спробуйте СУКУРІ ВАФяка піклується про повний захист веб-сайту та продуктивність для вас.

Вам сподобалось читати статтю? Як щодо того, щоб поділитися зі світом?