Proteja o site WordPress de XSS, Clickjacking e alguns outros ataques
Proteger seu site é essencial para a presença de sua empresa online. No fim de semana, fiz uma verificação de segurança no meu site WordPress por meio de Acunetix e Netsparker e encontrou as seguintes vulnerabilidades.
- Cabeçalho X-Frame-Options ausente
- Cookie não marcado como HttpOnly
- Cookie sem sinalizador seguro definido
Se você estiver em nuvem dedicada ou Hospedagem VPS você pode injetar esses cabeçalhos diretamente em Apache ou NginxGenericName para mitigá-lo. No entanto, para fazer isso diretamente no WordPress – você pode fazer o seguinte.
Observação : pós-implementação, você pode usar o Ferramenta de teste de cabeçalhos seguros para verificar os resultados.
Cabeçalho X-Frame-Options no WordPress
Ter isso injetado no cabeçalho impedirá roubo de cliques ataques. Abaixo foi descoberto pelo Netsparker.
Solução:
- Vá para o caminho onde o WordPress está instalado. Se você estiver em hospedagem compartilhada, você pode entrar no cPanel >> Gerenciador de Arquivos
- Faça um backup do wp-config.php
- Edite o arquivo e adicione a seguinte linha
header('X-Frame-Options: SAMEORIGIN');- Salve e atualize seu site para verificar.
Cookie com sinalizador HTTPOnly e Secure no WordPress
Ter Cookie com HTTPOnly instrui o navegador a confiar no cookie apenas pelo servidor, o que adiciona uma camada de proteção contra ataques XSS.
O sinalizador seguro no cookie instrui o navegador que o cookie pode ser acessado por meio de canais SSL seguros, que adicionam uma camada de proteção ao cookie da sessão.
Observação : isso funcionaria no site HTTPS. Se você ainda estiver em HTTP, considere mudar para HTTPS para melhor segurança .
Solução:
- Faça um backup do wp-config.php
- Edite o arquivo e adicione a seguinte linha
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);- Salve o arquivo e atualize seu site para verificá-lo.
Se você não gosta de hackear o código, alternativamente, você pode usar Plug-in de escudo que o ajudará a bloquear iFrames e proteger contra ataques XSS.
Depois de instalar o plug-in, vá para cabeçalhos HTTP e habilite-os.
Espero que o que foi dito acima o ajude a mitigar as vulnerabilidades do WordPress.
Espere antes de ir…
Você está procurando implementar cabeçalhos mais seguros?
Existem 10 cabeçalhos seguros recomendados pela OWASP e, se estiver usando VPS ou nuvem, verifique isso guia de implementação para Apache e Nginx . No entanto, se estiver em hospedagem compartilhada ou quiser fazê-lo no WordPress, tente isso plugar .
Conclusão
Proteger um site é desafiador e requer esforços contínuos. Se você deseja descarregar a dor de cabeça de segurança para o especialista, tente SUCURI WAF que cuida da proteção e desempenho completos do site para você.
