Zabezpečte WordPress pomocí X-Frame-Options a HTTPOnly Cookie

autor:
Tweet
Share
Share
Pin

Chraňte web WordPress před XSS, Clickjacking a některými dalšími útoky

Zabezpečení vašeho webu je zásadní pro vaši online obchodní přítomnost. O víkendu jsem provedl bezpečnostní kontrolu svého webu WordPress prostřednictvím Acunetix a Netsparker a našel jsem následující zranitelnosti.

  • Chybí záhlaví X-Frame-Options
  • Soubor cookie není označen jako pouze Http
  • Soubor cookie bez nastavení příznaku Secure

Pokud používáte vyhrazený cloud nebo hosting VPS, můžete tyto hlavičky přímo vložit do Apache nebo Nginx, abyste to zmírnili. Chcete-li to však provést přímo ve WordPressu, můžete provést následující.

Poznámka: po implementaci můžete k ověření výsledků použít nástroj Secure Headers Test.

  Jak odstranit seznam skladeb ve Spotify

Tím, že toto vstříknete do záhlaví, zabráníte Clickjacking útoky. Níže byl objeven Netsparker.

Řešení:

  • Přejděte na cestu, kde je nainstalován WordPress. Pokud jste na sdílený hostingmůžete se přihlásit do cPanel >> Správce souborů
  • Proveďte zálohu wp-config.php
  • Upravte soubor a přidejte následující řádek
header('X-Frame-Options: SAMEORIGIN');
  • Pro ověření uložte a obnovte svůj web.

Mít cookie s HTTPOnly dává prohlížeči pokyn, aby důvěřoval cookie pouze serveru, což přidává vrstvu ochrany proti útokům XSS.

Příznak zabezpečení v cookie dává prohlížeči pokyn, že cookie je přístupná přes zabezpečené kanály SSL, které přidávají vrstvu ochrany pro cookie relace.

  Jak používat Siri k vytvoření poznámky v Evernote

Poznámka: Toto by fungovalo na webu HTTPS. Pokud stále používáte HTTP, můžete zvážit přechod na HTTPS pro lepší zabezpečení.

Řešení:

  • Proveďte zálohu wp-config.php
  • Upravte soubor a přidejte následující řádek
@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);
  • Uložte soubor a obnovte svůj web, abyste jej ověřili.

Pokud se vám nelíbí hackování kódu, můžete jej použít Shield pluginkterý vám pomůže blokovat iFrame a chránit před XSS útoky.

Po instalaci pluginu přejděte na HTTP hlavičky a povolte je.

Doufám, že výše uvedené vám pomůže zmírnit zranitelnosti WordPress.

Počkejte, než půjdete…

Hledáte implementaci bezpečnějších hlaviček?

Existuje 10 zabezpečených hlaviček doporučených OWASP, a pokud používáte VPS nebo Cloud, podívejte se na tuto implementační příručku pro Apache a Nginx. Pokud však na sdíleném hostingu nebo to chcete udělat v rámci WordPress, zkuste to zapojit.

  Jak pořizovat skvělé fotografie iPhone v noci nebo při slabém osvětlení

Závěr

Zabezpečení webu je náročné a vyžaduje neustálé úsilí. Pokud chcete přenést bolesti hlavy s bezpečností na odborníka, můžete to zkusit SUCURI WAFkterá se za vás postará o kompletní ochranu a výkon webu.

Užili jste si čtení článku? Co takhle sdílet se světem?