Proteja el sitio web de WordPress de XSS, Clickjacking y algunos otros ataques
Proteger su sitio es esencial para la presencia de su negocio en línea. Durante el fin de semana, realicé un análisis de seguridad en mi sitio web de WordPress a través de Acunetix y Netsparker y encontré las siguientes vulnerabilidades.
- Falta el encabezado de opciones de X-Frame
- Cookie no marcada como HttpOnly
- Cookie sin indicador de seguridad establecido
Si tiene un alojamiento dedicado en la nube o VPS, puede inyectar directamente estos encabezados en Apache o Nginx para mitigarlo. Sin embargo, para hacer esto directamente en WordPress, puede hacer lo siguiente.
Nota: después de la implementación, puede usar la herramienta Prueba de encabezados seguros para verificar los resultados.
Tener esto inyectado en el encabezado evitará secuestro de clics ataques Abajo fue descubierto por Netsparker.
Solución:
- Vaya a la ruta donde está instalado WordPress. si estas en alojamiento compartidopuede iniciar sesión en cPanel >> Administrador de archivos
- Haz una copia de seguridad de wp-config.php
- Edite el archivo y agregue la siguiente línea
header('X-Frame-Options: SAMEORIGIN');
- Guarde y actualice su sitio web para verificar.
Cookie con bandera HTTPOnly y Secure en WordPress
Tener Cookie con HTTPOnly le indica al navegador que confíe en la cookie solo por parte del servidor, lo que agrega una capa de protección contra ataques XSS.
El indicador de seguridad en la cookie le indica al navegador que se puede acceder a la cookie a través de canales SSL seguros, lo que agrega una capa de protección para la cookie de sesión.
Nota: Esto funcionaría en el sitio web HTTPS. Si todavía está en HTTP, puede considerar cambiar a HTTPS para una mejor seguridad.
Solución:
- Haz una copia de seguridad de wp-config.php
- Edite el archivo y agregue la siguiente línea
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);
- Guarde el archivo y actualice su sitio web para verificarlo.
Si no le gusta piratear el código, alternativamente, puede usar Complemento de escudoque lo ayudará a bloquear iFrames y protegerse de los ataques XSS.
Una vez que instale el complemento, vaya a los encabezados HTTP y habilítelos.
Espero que lo anterior te ayude a mitigar las vulnerabilidades de WordPress.
Espera antes de irte…
¿Está buscando implementar encabezados más seguros?
Hay 10 encabezados seguros recomendados por OWASP, y si usa VPS o Cloud, consulte esta guía de implementación para Apache y Nginx. Sin embargo, si está en un alojamiento compartido o quiere hacerlo dentro de WordPress, intente esto enchufar.
Conclusión
Asegurar un sitio es un desafío y requiere esfuerzos continuos. Si está buscando descargar el dolor de cabeza de seguridad al experto, entonces puede intentar WAF SUCURIque se ocupa de la protección y el rendimiento completos del sitio web por usted.
¿Te gustó leer el artículo? ¿Qué tal compartir con el mundo?