Zabezpečte WordPress pomocí X-Frame-Options a HTTPOnly Cookie

autor:
Tweet
Share
Share
Pin

Ochrana WordPress webu před XSS, Clickjackingem a dalšími hrozbami

Zabezpečení vašeho webového prostoru je klíčové pro úspěšné online podnikání. Během víkendové bezpečnostní revize mého WordPress webu pomocí nástrojů Acunetix a Netsparker, jsem odhalil několik zranitelných míst.

  • Chybějící hlavička X-Frame-Options
  • Cookie není označen jako HttpOnly
  • Cookie postrádá nastavení příznaku Secure

V případě, že máte dedikovaný cloud nebo VPS hosting, můžete tyto hlavičky integrovat přímo do konfigurace Apache nebo Nginx. Pro přímou implementaci v rámci WordPressu však můžete postupovat podle následujících kroků.

Poznámka: Po aplikaci změn můžete použít nástroj Secure Headers Test k ověření výsledků.

Přidáním této hlavičky do záhlaví webu zamezíte útokům typu Clickjacking. Tento typ ohrožení byl identifikován nástrojem Netsparker.

Řešení:

  • Přejděte do adresáře, kde je nainstalovaný váš WordPress. Pokud používáte sdílený hosting, přihlaste se do cPanelu a otevřete Správce souborů.
  • Vytvořte zálohu souboru wp-config.php.
  • Otevřete soubor wp-config.php pro úpravu a přidejte následující řádek:
header('X-Frame-Options: SAMEORIGIN');
  • Uložte provedené změny a aktualizujte web pro ověření.

Nastavení cookie s příznaky HTTPOnly a Secure ve WordPressu

Použití HTTPOnly příznaku u cookie instruuje prohlížeč, aby důvěřoval cookie výhradně serveru, což zvyšuje ochranu proti XSS útokům.

Příznak Secure u cookie informuje prohlížeč, že cookie je dostupná pouze přes zabezpečené SSL kanály, čímž se přidává další vrstva zabezpečení pro session cookies.

Poznámka: Toto funguje na webu s HTTPS. Pokud stále používáte HTTP, doporučuje se přejít na HTTPS pro lepší bezpečnost.

Řešení:

  • Vytvořte zálohu souboru wp-config.php.
  • Otevřete soubor wp-config.php pro úpravu a přidejte následující řádky:
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);
  • Uložte soubor a aktualizujte web pro ověření.

Pokud preferujete řešení bez nutnosti editovat kód, můžete využít plugin Shield plugin, který pomůže blokovat iFrames a poskytuje ochranu před XSS útoky.

Po instalaci pluginu, přejděte do nastavení HTTP hlaviček a povolte požadované možnosti.

Doufám, že vám tyto kroky pomohou zmírnit zranitelnosti vašeho WordPress webu.

Ještě chvilku…

Zajímá vás implementace dalších zabezpečených hlaviček?

Existuje 10 doporučených zabezpečených hlaviček OWASP. Pokud používáte VPS nebo Cloud, prostudujte si příručku implementace pro Apache a Nginx. V případě sdíleného hostingu nebo implementace v rámci WordPressu můžete vyzkoušet plugin.

Závěr

Zabezpečení webu je neustálý proces. Pokud chcete přenechat starosti o bezpečnost odborníkovi, zvažte SUCURI WAF, který se postará o kompletní ochranu a výkon vašeho webu.

Líbil se vám článek? Sdílejte ho prosím s ostatními!