Védje a WordPress webhelyet az XSS, Clickjacking és néhány más támadás ellen
Webhelyének biztonságossá tétele elengedhetetlen az online üzleti jelenléthez. A hétvégén biztonsági vizsgálatot végeztem a WordPress webhelyemen az Acunetixen és a Netsparkeren keresztül, és a következő sebezhetőséget találtam.
- Hiányzik az X-Frame-Options fejléc
- Cookie nincs megjelölve HttpOnly-ként
- Cookie Biztonságos zászló beállítása nélkül
Ha dedikált felhő- vagy VPS-tárhelyet használ, közvetlenül beillesztheti ezeket a fejléceket az Apache-ba vagy az Nginxbe, hogy enyhítse azt. Ha azonban ezt közvetlenül a WordPress-ben szeretné megtenni, a következőket teheti.
Megjegyzés: A megvalósítást követően a Secure Headers Test eszközzel ellenőrizheti az eredményeket.
Ha ezt a fejlécbe fecskendezik, az megakadályozza Clickjacking támadások. Az alábbiakat a Netsparker fedezte fel.
Megoldás:
- Menjen arra az útvonalra, ahol a WordPress telepítve van. Ha be van kapcsolva megosztott tárhelybejelentkezhet a cPanel >> Fájlkezelőbe
- Készítsen biztonsági másolatot a wp-config.php fájlról
- Szerkessze a fájlt, és adja hozzá a következő sort
header('X-Frame-Options: SAMEORIGIN');
- Az ellenőrzéshez mentse és frissítse webhelyét.
Cookie HTTPOnly-val és biztonságos jelzővel a WordPressben
A HTTPOnly szolgáltatással rendelkező cookie arra utasítja a böngészőt, hogy csak a szerver által bízzon meg a cookie-ban, ami egy védelmi réteget ad az XSS-támadásokkal szemben.
A cookie-ban található biztonságos jelző utasítja a böngészőt, hogy a cookie biztonságos SSL csatornákon keresztül elérhető, ami egy védelmi réteget ad a munkamenet cookie számára.
Megjegyzés: Ez a HTTPS webhelyen működne. Ha továbbra is HTTP-t használ, érdemes lehet HTTPS-re váltani a nagyobb biztonság érdekében.
Megoldás:
- Készítsen biztonsági másolatot a wp-config.php fájlról
- Szerkessze a fájlt, és adja hozzá a következő sort
@ini_set('session.cookie_httponly', true); @ini_set('session.cookie_secure', true); @ini_set('session.use_only_cookies', true);
- Mentse el a fájlt, és frissítse webhelyét az ellenőrzéshez.
Ha nem szereti feltörni a kódot, akkor másként használhatja Shield pluginamely segít blokkolni az iFrame-eket és megvédeni az XSS-támadásoktól.
A beépülő modul telepítése után lépjen a HTTP-fejlécekhez, és engedélyezze őket.
Remélem, hogy a fentiek segítenek a WordPress sebezhetőségeinek enyhítésében.
Várj, mielőtt elmész…
Biztonságosabb fejléceket szeretne megvalósítani?
Az OWASP által ajánlott 10 biztonságos fejléc létezik, és ha VPS-t vagy Cloud-ot használ, tekintse meg ezt az Apache és Nginx megvalósítási útmutatóját. Ha azonban megosztott tárhelyet használ, vagy a WordPress-en belül szeretné megtenni, próbálja meg ezt csatlakoztat.
Következtetés
A webhely biztonságossá tétele kihívást jelent, és folyamatos erőfeszítéseket igényel. Ha a biztonsági fejfájást a szakértőre szeretné terhelni, akkor megpróbálhatja SUCURI WAFamely teljes körű webhelyvédelemről és teljesítményről gondoskodik az Ön számára.
Élvezettel olvastad a cikket? Mit szólnál a világgal való megosztáshoz?