Chraňte web WordPress před XSS, Clickjacking a některými dalšími útoky
Zabezpečení vašeho webu je zásadní pro vaši online obchodní přítomnost. O víkendu jsem provedl bezpečnostní kontrolu svého webu WordPress prostřednictvím Acunetix a Netsparker a našel jsem následující zranitelnosti.
- Chybí záhlaví X-Frame-Options
- Soubor cookie není označen jako pouze Http
- Soubor cookie bez nastavení příznaku Secure
Pokud používáte vyhrazený cloud nebo hosting VPS, můžete tyto hlavičky přímo vložit do Apache nebo Nginx, abyste to zmírnili. Chcete-li to však provést přímo ve WordPressu, můžete provést následující.
Poznámka: po implementaci můžete k ověření výsledků použít nástroj Secure Headers Test.
Tím, že toto vstříknete do záhlaví, zabráníte Clickjacking útoky. Níže byl objeven Netsparker.
Řešení:
- Přejděte na cestu, kde je nainstalován WordPress. Pokud jste na sdílený hostingmůžete se přihlásit do cPanel >> Správce souborů
- Proveďte zálohu wp-config.php
- Upravte soubor a přidejte následující řádek
header('X-Frame-Options: SAMEORIGIN');
- Pro ověření uložte a obnovte svůj web.
Soubor cookie s příznakem HTTPOnly a Secure ve WordPressu
Mít cookie s HTTPOnly dává prohlížeči pokyn, aby důvěřoval cookie pouze serveru, což přidává vrstvu ochrany proti útokům XSS.
Příznak zabezpečení v cookie dává prohlížeči pokyn, že cookie je přístupná přes zabezpečené kanály SSL, které přidávají vrstvu ochrany pro cookie relace.
Poznámka: Toto by fungovalo na webu HTTPS. Pokud stále používáte HTTP, můžete zvážit přechod na HTTPS pro lepší zabezpečení.
Řešení:
- Proveďte zálohu wp-config.php
- Upravte soubor a přidejte následující řádek
@ini_set('session.cookie_httponly', true); @ini_set('session.cookie_secure', true); @ini_set('session.use_only_cookies', true);
- Uložte soubor a obnovte svůj web, abyste jej ověřili.
Pokud se vám nelíbí hackování kódu, můžete jej použít Shield pluginkterý vám pomůže blokovat iFrame a chránit před XSS útoky.
Po instalaci pluginu přejděte na HTTP hlavičky a povolte je.
Doufám, že výše uvedené vám pomůže zmírnit zranitelnosti WordPress.
Počkejte, než půjdete…
Hledáte implementaci bezpečnějších hlaviček?
Existuje 10 zabezpečených hlaviček doporučených OWASP, a pokud používáte VPS nebo Cloud, podívejte se na tuto implementační příručku pro Apache a Nginx. Pokud však na sdíleném hostingu nebo to chcete udělat v rámci WordPress, zkuste to zapojit.
Závěr
Zabezpečení webu je náročné a vyžaduje neustálé úsilí. Pokud chcete přenést bolesti hlavy s bezpečností na odborníka, můžete to zkusit SUCURI WAFkterá se za vás postará o kompletní ochranu a výkon webu.
Užili jste si čtení článku? Co takhle sdílet se světem?