Sikker WordPress med X-Frame-Options & HTTPOnly Cookie

Af
Tweet
Share
Share
Pin

Beskyt WordPress-webstedet mod XSS, Clickjacking og nogle andre angreb

Sikring af dit websted er afgørende for din online virksomheds tilstedeværelse. I weekenden lavede jeg en sikkerhedsscanning på min WordPress hjemmeside gennem Acunetix og Netsparker og fandt følgende sårbarheder.

  • Manglende X-Frame-Options Header
  • Cookie ikke markeret som HttpOnly
  • Cookie uden Secure flag sæt

Hvis du er på dedikeret Cloud- eller VPS-hosting, kan du direkte injicere disse overskrifter i Apache eller Nginx for at afbøde det. Men for at gøre dette direkte i WordPress – kan du gøre følgende.

Bemærk: Efter implementeringen kan du bruge testværktøjet Secure Headers til at verificere resultaterne.

At få dette indsprøjtet i Headeren vil forhindre Clickjacking angreb. Nedenfor blev opdaget af Netsparker.

  Sådan opretter du flere profiler i Firefox

Løsning:

  • Gå til stien, hvor WordPress er installeret. Hvis du er på delt hostingkan du logge ind på cPanel >> Filhåndtering
  • Tag en sikkerhedskopi af wp-config.php
  • Rediger filen og tilføj følgende linje
header('X-Frame-Options: SAMEORIGIN');
  • Gem og opdater dit websted for at verificere.

At have cookie med HTTPOnly instruerer browseren til kun at stole på cookien af ​​serveren, hvilket tilføjer et lag af beskyttelse mod XSS-angreb.

Det sikre flag i cookien instruerer browseren om, at cookien er tilgængelig via sikre SSL-kanaler, som tilføjer et lag af beskyttelse til session-cookien.

  Sådan stopper du virksomheder i at lytte til dine stemmeassistentoptagelser

Bemærk: Dette ville fungere på HTTPS-webstedet. Hvis du stadig er på HTTP, kan du overveje at skifte til HTTPS for bedre sikkerhed.

Løsning:

  • Tag en sikkerhedskopi af wp-config.php
  • Rediger filen og tilføj følgende linje
@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);
  • Gem filen og opdater dit websted for at bekræfte det.

Hvis du ikke kan lide at hacke koden, så kan du alternativt bruge Shield pluginsom vil hjælpe dig med at blokere iFrames & og beskytte mod XSS-angreb.

Når du har installeret pluginnet, skal du gå til HTTP-headere og aktivere dem.

Jeg håber, at ovenstående hjælper dig med at afbøde WordPress-sårbarheder.

  Forbedre Firefox browsing, streaming og downloadhastigheder med Fasterfox

Vent før du går…

Ønsker du at implementere mere sikre headere?

Der er 10 OWASP anbefalede sikre overskrifter, og hvis du bruger VPS eller Cloud, så tjek denne implementeringsvejledning til Apache og Nginx. Men hvis du er på delt hosting eller ønsker at gøre det i WordPress, så prøv dette plugin.

Konklusion

Det er udfordrende at sikre et websted, og det kræver en løbende indsats. Hvis du ønsker at overlade sikkerhedshovedpinen til eksperten, kan du prøve SUCURI WAFsom sørger for komplet webstedsbeskyttelse og ydeevne for dig.

Nydt at læse artiklen? Hvad med at dele med verden?