Захистіть веб-сайт WordPress від XSS, Clickjacking та деяких інших атак
Безпека вашого сайту є важливою для присутності вашого бізнесу в Інтернеті. На вихідних я перевірив безпеку свого веб-сайту WordPress за допомогою Acunetix і Netsparker і виявив наступні вразливості.
- Відсутній заголовок X-Frame-Options
- Файл cookie не позначено як HttpOnly
- Файл cookie без встановленого прапора безпеки
Якщо ви використовуєте виділений хмарний або VPS-хостинг, ви можете безпосередньо вставити ці заголовки в Apache або Nginx, щоб пом’якшити це. Однак, щоб зробити це безпосередньо в WordPress, ви можете зробити наступне.
Примітка: після впровадження ви можете використовувати інструмент перевірки безпечних заголовків, щоб перевірити результати.
Введення цього в заголовок запобіжить Клікджекінг напади. Нижче було виявлено Netsparker.
рішення:
- Перейдіть до шляху, де встановлено WordPress. Якщо ви на спільний хостингви можете увійти в cPanel >> File Manager
- Зробіть резервну копію wp-config.php
- Відредагуйте файл і додайте наступний рядок
header('X-Frame-Options: SAMEORIGIN');
- Збережіть і оновіть веб-сайт, щоб перевірити.
Файл cookie з прапорцем HTTPOnly і Secure у WordPress
Наявність файлу cookie з HTTPOnly вказує браузеру довіряти файлу cookie лише серверу, що додає рівень захисту від атак XSS.
Позначка безпеки у файлі cookie вказує браузеру, що файл cookie доступний через безпечні канали SSL, які додають рівень захисту для файлу cookie сеансу.
Примітка. Це працюватиме на веб-сайті HTTPS. Якщо ви все ще використовуєте HTTP, ви можете розглянути можливість переходу на HTTPS для кращої безпеки.
рішення:
- Зробіть резервну копію wp-config.php
- Відредагуйте файл і додайте наступний рядок
@ini_set('session.cookie_httponly', true); @ini_set('session.cookie_secure', true); @ini_set('session.use_only_cookies', true);
- Збережіть файл і оновіть веб-сайт, щоб перевірити його.
Якщо вам не подобається зламувати код, то в якості альтернативи ви можете використовувати Плагін Shieldякий допоможе вам заблокувати iFrames і захистити від атак XSS.
Після встановлення плагіна перейдіть до HTTP-заголовків і ввімкніть їх.
Я сподіваюся, що наведене вище допоможе вам усунути вразливості WordPress.
Зачекайте, перш ніж йти…
Ви хочете застосувати більш безпечні заголовки?
Існує 10 безпечних заголовків, рекомендованих OWASP, і якщо ви використовуєте VPS або Cloud, перегляньте цей посібник із впровадження для Apache та Nginx. Однак якщо ви використовуєте спільний хостинг або хочете зробити це в WordPress, спробуйте це підключати.
Висновок
Захистити сайт – це складно, і це вимагає постійних зусиль. Якщо ви хочете перекласти головний біль безпеки на експерта, спробуйте СУКУРІ ВАФяка піклується про повний захист веб-сайту та продуктивність для вас.
Вам сподобалось читати статтю? Як щодо того, щоб поділитися зі світом?