Säker WordPress med X-Frame-Options & HTTPOnly Cookie

av

Skydda WordPress-webbplatsen från XSS, Clickjacking och några andra attacker

Att säkra din webbplats är avgörande för din närvaro online. Under helgen gjorde jag en säkerhetsskanning på min WordPress-webbplats genom Acunetix och Netsparker och hittade följande sårbarheter.

  • Saknas X-Frame-Options Header
  • Cookie inte markerad som HttpOnly
  • Cookie utan Säker flagguppsättning

Om du använder dedikerad Cloud- eller VPS-hosting kan du direkt injicera dessa rubriker i Apache eller Nginx för att mildra det. Men för att göra detta direkt i WordPress – kan du göra följande.

Obs: efter implementeringen kan du använda testverktyget Secure Headers för att verifiera resultaten.

Att ha detta injicerat i Header kommer att förhindra Clickjacking attacker. Nedan upptäcktes av Netsparker.

Lösning:

  • Gå till sökvägen där WordPress är installerat. Om du är på delad hostingkan du logga in på cPanel >> File Manager
  • Ta en säkerhetskopia av wp-config.php
  • Redigera filen och lägg till följande rad
header('X-Frame-Options: SAMEORIGIN');
  • Spara och uppdatera din webbplats för att verifiera.

Att ha cookie med HTTPOnly instruerar webbläsaren att lita på cookien endast av servern, vilket lägger till ett lager av skydd mot XSS-attacker.

Den säkra flaggan i cookien instruerar webbläsaren att cookien är tillgänglig via säkra SSL-kanaler, som lägger till ett skyddslager för sessionskakan.

Obs: Detta skulle fungera på HTTPS-webbplatsen. Om du fortfarande använder HTTP kan du överväga att byta till HTTPS för bättre säkerhet.

Lösning:

  • Ta en säkerhetskopia av wp-config.php
  • Redigera filen och lägg till följande rad
@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);
  • Spara filen och uppdatera din webbplats för att verifiera den.

Om du inte gillar att hacka koden kan du alternativt använda den Shield pluginsom hjälper dig att blockera iFrames & och skydda mot XSS-attacker.

När du har installerat plugin, gå till HTTP-rubriker och aktivera dem.

Jag hoppas att ovanstående hjälper dig att lindra WordPress-sårbarheter.

Vänta innan du går…

Vill du implementera säkrare headers?

Det finns 10 OWASP-rekommenderade säkra rubriker, och om du använder VPS eller Cloud, kolla in den här implementeringsguiden för Apache och Nginx. Men om du är på delad värd eller vill göra det inom WordPress, prova detta plugin.

Slutsats

Att säkra en webbplats är utmanande och det kräver kontinuerliga ansträngningar. Om du funderar på att överföra säkerhetshuvudvärken till experten kan du försöka SUCURI WAFsom tar hand om fullständigt webbskydd och prestanda åt dig.

Gillade du att läsa artikeln? Vad sägs om att dela med världen?