Biztonságos WordPress X-Frame-Options és HTTPOnly Cookie segítségével

Szerző:
Tweet
Share
Share
Pin

Védje a WordPress webhelyet az XSS, Clickjacking és néhány más támadás ellen

Webhelyének biztonságossá tétele elengedhetetlen az online üzleti jelenléthez. A hétvégén biztonsági vizsgálatot végeztem a WordPress webhelyemen az Acunetixen és a Netsparkeren keresztül, és a következő sebezhetőséget találtam.

  • Hiányzik az X-Frame-Options fejléc
  • Cookie nincs megjelölve HttpOnly-ként
  • Cookie Biztonságos zászló beállítása nélkül

Ha dedikált felhő- vagy VPS-tárhelyet használ, közvetlenül beillesztheti ezeket a fejléceket az Apache-ba vagy az Nginxbe, hogy enyhítse azt. Ha azonban ezt közvetlenül a WordPress-ben szeretné megtenni, a következőket teheti.

Megjegyzés: A megvalósítást követően a Secure Headers Test eszközzel ellenőrizheti az eredményeket.

Ha ezt a fejlécbe fecskendezik, az megakadályozza Clickjacking támadások. Az alábbiakat a Netsparker fedezte fel.

  Csak a legfrissebb híreket és cikkeket jelenítse meg a Google Keresésben a dátumtartomány megadásával

Megoldás:

  • Menjen arra az útvonalra, ahol a WordPress telepítve van. Ha be van kapcsolva megosztott tárhelybejelentkezhet a cPanel >> Fájlkezelőbe
  • Készítsen biztonsági másolatot a wp-config.php fájlról
  • Szerkessze a fájlt, és adja hozzá a következő sort
header('X-Frame-Options: SAMEORIGIN');
  • Az ellenőrzéshez mentse és frissítse webhelyét.

A HTTPOnly szolgáltatással rendelkező cookie arra utasítja a böngészőt, hogy csak a szerver által bízzon meg a cookie-ban, ami egy védelmi réteget ad az XSS-támadásokkal szemben.

A cookie-ban található biztonságos jelző utasítja a böngészőt, hogy a cookie biztonságos SSL csatornákon keresztül elérhető, ami egy védelmi réteget ad a munkamenet cookie számára.

Megjegyzés: Ez a HTTPS webhelyen működne. Ha továbbra is HTTP-t használ, érdemes lehet HTTPS-re váltani a nagyobb biztonság érdekében.

  A VLC Media Player frissítése

Megoldás:

  • Készítsen biztonsági másolatot a wp-config.php fájlról
  • Szerkessze a fájlt, és adja hozzá a következő sort
@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);
  • Mentse el a fájlt, és frissítse webhelyét az ellenőrzéshez.

Ha nem szereti feltörni a kódot, akkor másként használhatja Shield pluginamely segít blokkolni az iFrame-eket és megvédeni az XSS-támadásoktól.

A beépülő modul telepítése után lépjen a HTTP-fejlécekhez, és engedélyezze őket.

Remélem, hogy a fentiek segítenek a WordPress sebezhetőségeinek enyhítésében.

Várj, mielőtt elmész…

Biztonságosabb fejléceket szeretne megvalósítani?

Az OWASP által ajánlott 10 biztonságos fejléc létezik, és ha VPS-t vagy Cloud-ot használ, tekintse meg ezt az Apache és Nginx megvalósítási útmutatóját. Ha azonban megosztott tárhelyet használ, vagy a WordPress-en belül szeretné megtenni, próbálja meg ezt csatlakoztat.

  A rétegek feloldása az Adobe Photoshopban

Következtetés

A webhely biztonságossá tétele kihívást jelent, és folyamatos erőfeszítéseket igényel. Ha a biztonsági fejfájást a szakértőre szeretné terhelni, akkor megpróbálhatja SUCURI WAFamely teljes körű webhelyvédelemről és teljesítményről gondoskodik az Ön számára.

Élvezettel olvastad a cikket? Mit szólnál a világgal való megosztáshoz?

Tweet
Share
Share
Pin