WordPress-Websites vor XSS, Clickjacking und anderen Angriffen schützen
Die Absicherung Ihrer Website ist von entscheidender Bedeutung für Ihre Online-Präsenz. Kürzlich habe ich mit Acunetix und Netsparker einen Sicherheits-Scan meiner WordPress-Seite durchgeführt und dabei folgende Schwachstellen entdeckt:
- Fehlender X-Frame-Options-Header
- Cookies sind nicht als HttpOnly markiert
- Cookies ohne gesetztes Secure-Flag
Bei Verwendung von dediziertem Cloud- oder VPS-Hosting können diese Header direkt in Apache oder Nginx eingefügt werden, um die Risiken zu minimieren. Um diese Änderungen jedoch direkt in WordPress vorzunehmen, gibt es folgende Möglichkeiten.
Wichtig: Nach der Implementierung können Sie ein Test-Tool für sichere Header verwenden, um Ihre Ergebnisse zu überprüfen.
Die Implementierung des folgenden Headers verhindert Clickjacking Angriffe. Dies wurde von Netsparker erkannt.
Lösung:
- Navigieren Sie zum Verzeichnis, in dem WordPress installiert ist. Wenn Sie Shared Hosting nutzen, melden Sie sich im cPanel >> Dateimanager an.
- Erstellen Sie eine Sicherungskopie der Datei wp-config.php.
- Bearbeiten Sie die Datei und fügen Sie folgende Zeile hinzu:
header('X-Frame-Options: SAMEORIGIN');
- Speichern Sie die Änderungen und aktualisieren Sie Ihre Website zur Bestätigung.
Cookies mit HTTPOnly und Secure Flag in WordPress
Das Setzen des HTTPOnly-Flags weist den Browser an, dem Cookie nur vom Server zu vertrauen, was eine zusätzliche Sicherheitsschicht gegen XSS-Angriffe darstellt.
Das Secure-Flag im Cookie signalisiert dem Browser, dass auf das Cookie nur über sichere SSL-Verbindungen zugegriffen werden darf, was eine weitere Sicherheitsebene für Sitzungs-Cookies hinzufügt.
Hinweis: Dies funktioniert nur auf HTTPS-Websites. Wenn Sie noch HTTP verwenden, sollten Sie aus Sicherheitsgründen auf HTTPS umsteigen.
Lösung:
- Erstellen Sie eine Sicherungskopie von wp-config.php.
- Bearbeiten Sie die Datei und fügen Sie folgende Zeilen hinzu:
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);
- Speichern Sie die Änderungen und aktualisieren Sie Ihre Website, um die Ergebnisse zu überprüfen.
Wenn Sie nicht direkt in den Code eingreifen möchten, können Sie alternativ das Shield-Plugin verwenden. Dieses Plugin hilft Ihnen, iFrames zu blockieren und Ihre Seite vor XSS-Angriffen zu schützen.
Nach der Installation des Plugins aktivieren Sie die entsprechenden Optionen in den HTTP-Headern.
Ich hoffe, diese Informationen helfen Ihnen bei der Reduzierung von WordPress-Schwachstellen.
Warten Sie noch einen Moment…
Möchten Sie sicherere Header implementieren?
Es gibt 10 von OWASP empfohlene sichere Header. Wenn Sie VPS oder Cloud verwenden, finden Sie hier eine Anleitung zur Implementierung für Apache und Nginx. Für Shared Hosting oder eine direkte Implementierung in WordPress gibt es ein Plugin.
Fazit:
Die Absicherung einer Website ist eine kontinuierliche Aufgabe. Wenn Sie die Sicherheitsaspekte an Experten abgeben möchten, können Sie SUCURI WAF ausprobieren, die sich um den umfassenden Schutz und die Performance Ihrer Website kümmert.
Hat Ihnen dieser Artikel gefallen? Dann teilen Sie ihn doch mit anderen!