保护 WordPress 网站免受 XSS、点击劫持和其他一些攻击
保护您的网站对于您的在线业务至关重要。 周末,我通过 Acunetix 和 Netsparker 对我的 WordPress 网站进行了安全扫描,发现了以下漏洞。
- 缺少 X-Frame-Options 标头
- Cookie 未标记为 HttpOnly
- 没有设置安全标志的 Cookie
如果您使用专用的云或 VPS 托管,您可以直接在 Apache 或 Nginx 中注入这些标头以缓解它。 但是,要直接在 WordPress 中执行此操作,您可以执行以下操作。
注意:实施后,您可以使用 Secure Headers Test 工具来验证结果。
将其注入 Header 将防止 点击劫持 攻击。 下面是由 Netsparker 发现的。
解决方案:
- 转到安装 WordPress 的路径。 如果你在 共享主机,您可以登录cPanel >> 文件管理器
- 备份 wp-config.php
- 编辑文件并添加以下行
header('X-Frame-Options: SAMEORIGIN');
- 保存并刷新您的网站以进行验证。
WordPress 中带有 HTTPOnly 和 Secure 标志的 Cookie
使用带有 HTTPOnly 的 Cookie 指示浏览器仅信任服务器的 cookie,这增加了一层针对 XSS 攻击的保护。
cookie 中的安全标志指示浏览器可以通过安全 SSL 通道访问 cookie,这为会话 cookie 添加了一层保护。
注意:这适用于 HTTPS 网站。 如果您仍在使用 HTTP,则可以考虑切换到 HTTPS 以获得更好的安全性。
解决方案:
- 备份 wp-config.php
- 编辑文件并添加以下行
@ini_set('session.cookie_httponly', true); @ini_set('session.cookie_secure', true); @ini_set('session.use_only_cookies', true);
- 保存文件并刷新您的网站以验证它。
如果您不喜欢破解代码,那么您也可以使用 屏蔽插件,这将帮助您阻止 iFrame 和防止 XSS 攻击。
安装插件后,转到 HTTP 标头并启用它们。
我希望以上内容可以帮助您减轻 WordPress 漏洞。
等你走之前……
您是否希望实现更安全的标头?
OWASP 推荐了 10 个安全标头,如果使用 VPS 或云,请查看此 Apache 和 Nginx 实施指南。 但是,如果在共享主机上或想在 WordPress 中进行,那么试试这个 插入.
结论
保护站点具有挑战性,需要不断努力。 如果您希望将安全难题交给专家,那么您可以尝试 SUCURI WAF,它为您提供完整的网站保护和性能。
喜欢阅读这篇文章吗? 与世界分享如何?