Zabezpiecz swoją stronę WordPress przed atakami XSS, Clickjackingiem i innymi zagrożeniami
Ochrona strony internetowej to kluczowy aspekt budowania obecności online. Niedawno, podczas skanowania zabezpieczeń mojej witryny WordPress za pomocą narzędzi Acunetix i Netsparker, zidentyfikowałem pewne luki, które wymagały mojej uwagi.
- Brak zdefiniowanego nagłówka X-Frame-Options
- Plik cookie nie był oznaczony jako HttpOnly
- Brak ustawionej flagi Secure dla pliku cookie
Jeśli korzystasz z dedykowanego hostingu w chmurze lub serwera VPS, możesz wprowadzić te nagłówki bezpośrednio w konfiguracji Apache lub Nginx, aby załagodzić te problemy. Jeżeli jednak preferujesz modyfikację bezpośrednio w WordPressie, możesz skorzystać z poniższych wskazówek.
Ważne: Po wprowadzeniu zmian, zaleca się użycie narzędzia do testowania nagłówków bezpieczeństwa, aby zweryfikować poprawność konfiguracji.
Dodanie odpowiedniego nagłówka do odpowiedzi serwera uniemożliwi ataki typu Clickjacking. Taki problem został wykryty przez narzędzie Netsparker.
Rozwiązanie:
- Znajdź katalog, w którym zainstalowany jest WordPress. W przypadku korzystania z hostingu współdzielonego, zaloguj się do cPanel i przejdź do Menedżera plików
- Wykonaj kopię zapasową pliku wp-config.php
- Otwórz plik do edycji i dodaj następującą linię kodu
header('X-Frame-Options: SAMEORIGIN');
- Zapisz zmiany i odśwież swoją stronę, aby sprawdzić, czy zmiany zostały poprawnie wprowadzone.
Konfiguracja flag HTTPOnly i Secure dla plików cookie w WordPress
Ustawienie flagi HTTPOnly w pliku cookie sprawia, że jest on dostępny tylko dla serwera, co stanowi dodatkową ochronę przed atakami XSS.
Flaga Secure informuje przeglądarkę, że plik cookie powinien być przesyłany tylko za pomocą bezpiecznych połączeń SSL/TLS, co zwiększa bezpieczeństwo plików cookie sesji.
Ważne: Te ustawienia działają poprawnie tylko na stronach korzystających z protokołu HTTPS. Jeśli Twoja strona nadal używa HTTP, zaleca się migrację na HTTPS w celu zwiększenia bezpieczeństwa.
Rozwiązanie:
- Utwórz kopię zapasową pliku wp-config.php
- Otwórz plik do edycji i dodaj poniższe wiersze
@ini_set('session.cookie_httponly', true); @ini_set('session.cookie_secure', true); @ini_set('session.use_only_cookies', true);
- Zapisz plik i odśwież stronę, aby zweryfikować poprawność zmian.
Jeśli nie chcesz modyfikować kodu, możesz wykorzystać wtyczkę Shield, która pomoże Ci w blokowaniu ramek iFrames i zapewni ochronę przed atakami XSS.
Po zainstalowaniu wtyczki, przejdź do ustawień nagłówków HTTP i aktywuj odpowiednie opcje.
Mam nadzieję, że te porady pomogą Ci w zabezpieczeniu Twojej strony WordPress.
Chwileczkę, zanim pójdziesz…
Chcesz wprowadzić jeszcze bardziej zaawansowane nagłówki bezpieczeństwa?
Istnieje 10 rekomendowanych przez OWASP nagłówków bezpieczeństwa. Jeśli korzystasz z serwera VPS lub chmury, możesz znaleźć wskazówki dotyczące implementacji w Apache i Nginx. Jednak, jeżeli korzystasz z hostingu współdzielonego lub chcesz to zrobić w WordPress, spróbuj tego rozszerzenia.
Podsumowanie
Zabezpieczenie strony to ciągły proces wymagający regularnych działań. Jeśli wolisz powierzyć ochronę swojej strony ekspertom, rozważ SUCURI WAF, który zapewnia wszechstronną ochronę oraz poprawę wydajności witryny.
Czy ten artykuł był dla Ciebie pomocny? Podziel się nim z innymi!
newsblog.pl