Ασφαλίστε το WordPress με X-Frame-Options & HTTPOnly Cookie

Προστατέψτε τον ιστότοπο WordPress από XSS, Clickjacking και κάποιες άλλες επιθέσεις

Η ασφάλεια του ιστότοπού σας είναι απαραίτητη για την παρουσία της επιχείρησής σας στο διαδίκτυο. Το Σαββατοκύριακο, έκανα μια σάρωση ασφαλείας στον ιστότοπό μου στο WordPress μέσω του Acunetix και του Netsparker και βρήκα τα ακόλουθα τρωτά σημεία.

  • Λείπει η κεφαλίδα X-Frame-Options
  • Το cookie δεν έχει επισημανθεί ως HttpOnly
  • Cookie χωρίς σετ σημαίας Secure

Εάν χρησιμοποιείτε αποκλειστική φιλοξενία Cloud ή VPS, μπορείτε να εισάγετε απευθείας αυτές τις κεφαλίδες στο Apache ή στο Nginx για να το μετριαστείτε. Ωστόσο, για να το κάνετε αυτό απευθείας στο WordPress – μπορείτε να κάνετε τα εξής.

Σημείωση: μετά την εφαρμογή, μπορείτε να χρησιμοποιήσετε το εργαλείο Secure Headers Test για να επαληθεύσετε τα αποτελέσματα.

  Προσδιορίστε τη μουσική που παίζει στην επιφάνεια εργασίας ή σε μια κοντινή συσκευή

Η έγχυση αυτού στο Header θα αποτρέψει Clickjacking επιθέσεις. Παρακάτω ανακαλύφθηκε από το Netsparker.

Λύση:

  • Μεταβείτε στη διαδρομή όπου είναι εγκατεστημένο το WordPress. Εάν είστε επάνω κοινόχρηστη φιλοξενίαμπορείτε να συνδεθείτε στο cPanel >> Διαχείριση αρχείων
  • Πάρτε ένα αντίγραφο ασφαλείας του wp-config.php
  • Επεξεργαστείτε το αρχείο και προσθέστε την ακόλουθη γραμμή
header('X-Frame-Options: SAMEORIGIN');
  • Αποθηκεύστε και ανανεώστε τον ιστότοπό σας για επαλήθευση.

Η ύπαρξη Cookie με HTTPOnly καθοδηγεί το πρόγραμμα περιήγησης να εμπιστεύεται το cookie μόνο από τον διακομιστή, γεγονός που προσθέτει ένα επίπεδο προστασίας από επιθέσεις XSS.

Η ασφαλής σημαία στο cookie καθοδηγεί το πρόγραμμα περιήγησης ότι το cookie είναι προσβάσιμο μέσω ασφαλών καναλιών SSL, τα οποία προσθέτουν ένα επίπεδο προστασίας για το cookie περιόδου λειτουργίας.

  Πώς να τραβήξετε και να σχολιάσετε στιγμιότυπα οθόνης στο iPad χρησιμοποιώντας το Apple Pencil

Σημείωση: Αυτό θα λειτουργούσε στον ιστότοπο HTTPS. Εάν εξακολουθείτε να χρησιμοποιείτε HTTP, μπορείτε να εξετάσετε το ενδεχόμενο μετάβασης σε HTTPS για καλύτερη ασφάλεια.

Λύση:

  • Πάρτε ένα αντίγραφο ασφαλείας του wp-config.php
  • Επεξεργαστείτε το αρχείο και προσθέστε την ακόλουθη γραμμή
@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);
  • Αποθηκεύστε το αρχείο και ανανεώστε τον ιστότοπό σας για να το επαληθεύσετε.

Εάν δεν σας αρέσει να χακάρετε τον κώδικα, τότε εναλλακτικά, μπορείτε να χρησιμοποιήσετε Πρόσθετο Shieldτο οποίο θα σας βοηθήσει να αποκλείσετε το iFrames και να προστατεύσετε από επιθέσεις XSS.

Μόλις εγκαταστήσετε την προσθήκη, μεταβείτε στις κεφαλίδες HTTP και ενεργοποιήστε τις.

  Πώς να μεταδώσετε το Popcorn Time σε Smart TV

Ελπίζω τα παραπάνω να σας βοηθήσουν στον μετριασμό των τρωτών σημείων του WordPress.

Περίμενε πριν φύγεις…

Ψάχνετε να εφαρμόσετε πιο ασφαλείς κεφαλίδες;

Υπάρχουν 10 συνιστώμενες ασφαλείς κεφαλίδες OWASP και εάν χρησιμοποιείτε VPS ή Cloud, ελέγξτε αυτόν τον οδηγό υλοποίησης για Apache και Nginx. Ωστόσο, εάν χρησιμοποιείτε κοινόχρηστη φιλοξενία ή θέλετε να το κάνετε στο WordPress, δοκιμάστε το συνδέω.

συμπέρασμα

Η ασφάλεια ενός ιστότοπου είναι πρόκληση και απαιτεί συνεχείς προσπάθειες. Αν θέλετε να ξεφορτώσετε τον πονοκέφαλο ασφαλείας στον ειδικό, τότε μπορείτε να δοκιμάσετε SUCURI WAFτο οποίο φροντίζει για την πλήρη προστασία και απόδοση του ιστότοπου για εσάς.

Σας άρεσε να διαβάζετε το άρθρο; Τι θα λέγατε να μοιράζεστε με τον κόσμο;