Biztonságos WordPress X-Frame-Options és HTTPOnly Cookie segítségével

Védje a WordPress webhelyet az XSS, Clickjacking és néhány más támadás ellen

Webhelyének biztonságossá tétele elengedhetetlen az online üzleti jelenléthez. A hétvégén biztonsági vizsgálatot végeztem a WordPress webhelyemen az Acunetixen és a Netsparkeren keresztül, és a következő sebezhetőséget találtam.

  • Hiányzik az X-Frame-Options fejléc
  • Cookie nincs megjelölve HttpOnly-ként
  • Cookie Biztonságos zászló beállítása nélkül

Ha dedikált felhő- vagy VPS-tárhelyet használ, közvetlenül beillesztheti ezeket a fejléceket az Apache-ba vagy az Nginxbe, hogy enyhítse azt. Ha azonban ezt közvetlenül a WordPress-ben szeretné megtenni, a következőket teheti.

Megjegyzés: A megvalósítást követően a Secure Headers Test eszközzel ellenőrizheti az eredményeket.

Ha ezt a fejlécbe fecskendezik, az megakadályozza Clickjacking támadások. Az alábbiakat a Netsparker fedezte fel.

Megoldás:

  • Menjen arra az útvonalra, ahol a WordPress telepítve van. Ha be van kapcsolva megosztott tárhelybejelentkezhet a cPanel >> Fájlkezelőbe
  • Készítsen biztonsági másolatot a wp-config.php fájlról
  • Szerkessze a fájlt, és adja hozzá a következő sort
header('X-Frame-Options: SAMEORIGIN');
  • Az ellenőrzéshez mentse és frissítse webhelyét.
  A VLC Media Player frissítése

A HTTPOnly szolgáltatással rendelkező cookie arra utasítja a böngészőt, hogy csak a szerver által bízzon meg a cookie-ban, ami egy védelmi réteget ad az XSS-támadásokkal szemben.

A cookie-ban található biztonságos jelző utasítja a böngészőt, hogy a cookie biztonságos SSL csatornákon keresztül elérhető, ami egy védelmi réteget ad a munkamenet cookie számára.

Megjegyzés: Ez a HTTPS webhelyen működne. Ha továbbra is HTTP-t használ, érdemes lehet HTTPS-re váltani a nagyobb biztonság érdekében.

Megoldás:

  • Készítsen biztonsági másolatot a wp-config.php fájlról
  • Szerkessze a fájlt, és adja hozzá a következő sort
@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);
  • Mentse el a fájlt, és frissítse webhelyét az ellenőrzéshez.
  A rétegek feloldása az Adobe Photoshopban

Ha nem szereti feltörni a kódot, akkor másként használhatja Shield pluginamely segít blokkolni az iFrame-eket és megvédeni az XSS-támadásoktól.

A beépülő modul telepítése után lépjen a HTTP-fejlécekhez, és engedélyezze őket.

Remélem, hogy a fentiek segítenek a WordPress sebezhetőségeinek enyhítésében.

Várj, mielőtt elmész…

Biztonságosabb fejléceket szeretne megvalósítani?

Az OWASP által ajánlott 10 biztonságos fejléc létezik, és ha VPS-t vagy Cloud-ot használ, tekintse meg ezt az Apache és Nginx megvalósítási útmutatóját. Ha azonban megosztott tárhelyet használ, vagy a WordPress-en belül szeretné megtenni, próbálja meg ezt csatlakoztat.

Következtetés

A webhely biztonságossá tétele kihívást jelent, és folyamatos erőfeszítéseket igényel. Ha a biztonsági fejfájást a szakértőre szeretné terhelni, akkor megpróbálhatja SUCURI WAFamely teljes körű webhelyvédelemről és teljesítményről gondoskodik az Ön számára.

  A Chromecast frissítésének kényszerítése

Élvezettel olvastad a cikket? Mit szólnál a világgal való megosztáshoz?