Chroń witrynę WordPress przed XSS, Clickjackingiem i innymi atakami
Zabezpieczenie witryny jest niezbędne dla Twojej obecności w Internecie. W weekend wykonałem skanowanie bezpieczeństwa na mojej witrynie WordPress za pośrednictwem Acunetix i Netsparker i znalazłem następujące luki.
- Brak nagłówka X-Frame-Options
- Plik cookie nieoznaczony jako HttpOnly
- Plik cookie bez ustawionej flagi Secure
Jeśli korzystasz z dedykowanego hostingu w chmurze lub VPS, możesz bezpośrednio wstrzyknąć te nagłówki w Apache lub Nginx, aby to złagodzić. Aby jednak zrobić to bezpośrednio w WordPressie – możesz wykonać następujące czynności.
Uwaga: po wdrożeniu możesz użyć narzędzia Secure Headers Test, aby zweryfikować wyniki.
Wstrzyknięcie tego do nagłówka zapobiegnie Clickjacking ataki. Poniżej został odkryty przez Netsparker.
Rozwiązanie:
- Przejdź do ścieżki, w której zainstalowano WordPress. Jeśli jesteś włączony hosting współdzielonymożesz zalogować się do cPanel >> Menedżer plików
- Zrób kopię zapasową wp-config.php
- Edytuj plik i dodaj następujący wiersz
header('X-Frame-Options: SAMEORIGIN');
- Zapisz i odśwież swoją witrynę do weryfikacji.
Plik cookie z flagą HTTPOnly i Secure w WordPress
Posiadanie Cookie with HTTPOnly instruuje przeglądarkę, aby ufała plikowi cookie tylko przez serwer, co dodaje warstwę ochrony przed atakami XSS.
Flaga bezpieczeństwa w pliku cookie informuje przeglądarkę, że plik cookie jest dostępny za pośrednictwem bezpiecznych kanałów SSL, które dodają warstwę ochrony do pliku cookie sesji.
Uwaga: działałoby to w witrynie HTTPS. Jeśli nadal korzystasz z protokołu HTTP, możesz rozważyć przejście na HTTPS, aby zwiększyć bezpieczeństwo.
Rozwiązanie:
- Zrób kopię zapasową wp-config.php
- Edytuj plik i dodaj następujący wiersz
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);
- Zapisz plik i odśwież swoją witrynę, aby ją zweryfikować.
Jeśli nie lubisz hakować kodu, możesz alternatywnie użyć Wtyczka Shieldktóry pomoże Ci blokować ramki iFrames i chronić przed atakami XSS.
Po zainstalowaniu wtyczki przejdź do nagłówków HTTP i włącz je.
Mam nadzieję, że powyższe pomoże Ci złagodzić luki w WordPressie.
Poczekaj, zanim wyjedziesz…
Czy chcesz wdrożyć bezpieczniejsze nagłówki?
Istnieje 10 zalecanych bezpiecznych nagłówków OWASP, a jeśli używasz VPS lub Cloud, zapoznaj się z tym przewodnikiem implementacji dla Apache i Nginx. Jeśli jednak korzystasz z hostingu współdzielonego lub chcesz to zrobić w WordPressie, spróbuj tego podłącz.
Wniosek
Zabezpieczanie witryny jest wyzwaniem i wymaga ciągłych wysiłków. Jeśli chcesz przekazać ekspertowi problem bezpieczeństwa, możesz spróbować SUCURI WAFktóry zapewnia pełną ochronę i wydajność witryny.
Podobał Ci się artykuł? Co powiesz na dzielenie się ze światem?