使用 X-Frame-Options 和 HTTPOnly Cookie 保护 WordPress

保护 WordPress 网站免受 XSS、点击劫持和其他一些攻击

保护您的网站对于您的在线业务至关重要。 周末,我通过 Acunetix 和 Netsparker 对我的 WordPress 网站进行了安全扫描,发现了以下漏洞。

  • 缺少 X-Frame-Options 标头
  • Cookie 未标记为 HttpOnly
  • 没有设置安全标志的 Cookie

如果您使用专用的云或 VPS 托管,您可以直接在 Apache 或 Nginx 中注入这些标头以缓解它。 但是,要直接在 WordPress 中执行此操作,您可以执行以下操作。

注意:实施后,您可以使用 Secure Headers Test 工具来验证结果。

将其注入 Header 将防止 点击劫持 攻击。 下面是由 Netsparker 发现的。

解决方案:

  • 转到安装 WordPress 的路径。 如果你在 共享主机,您可以登录cPanel >> 文件管理器
  • 备份 wp-config.php
  • 编辑文件并添加以下行
header('X-Frame-Options: SAMEORIGIN');
  • 保存并刷新您的网站以进行验证。

使用带有 HTTPOnly 的 Cookie 指示浏览器仅信任服务器的 cookie,这增加了一层针对 XSS 攻击的保护。

cookie 中的安全标志指示浏览器可以通过安全 SSL 通道访问 cookie,这为会话 cookie 添加了一层保护。

注意:这适用于 HTTPS 网站。 如果您仍在使用 HTTP,则可以考虑切换到 HTTPS 以获得更好的安全性。

  2021 年最佳液体 CPU 冷却器:评论 + 购买指南

解决方案:

  • 备份 wp-config.php
  • 编辑文件并添加以下行
@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);
  • 保存文件并刷新您的网站以验证它。

如果您不喜欢破解代码,那么您也可以使用 屏蔽插件,这将帮助您阻止 iFrame 和防止 XSS 攻击。

安装插件后,转到 HTTP 标头并启用它们。

我希望以上内容可以帮助您减轻 WordPress 漏洞。

等你走之前……

您是否希望实现更安全的标头?

OWASP 推荐了 10 个安全标头,如果使用 VPS 或云,请查看此 Apache 和 Nginx 实施指南。 但是,如果在共享主机上或想在 WordPress 中进行,那么试试这个 插入.

结论

保护站点具有挑战性,需要不断努力。 如果您希望将安全难题交给专家,那么您可以尝试 SUCURI WAF,它为您提供完整的网站保护和性能。

喜欢阅读这篇文章吗? 与世界分享如何?