Fortalecendo a Segurança do seu Site WordPress: Proteção contra XSS, Clickjacking e Outras Ameaças
A segurança do seu site é fundamental para garantir uma presença online de sucesso para o seu negócio. Recentemente, ao realizar uma avaliação de segurança no meu site WordPress usando ferramentas como Acunetix e Netsparker, identifiquei algumas vulnerabilidades que precisavam ser abordadas.
- Ausência do cabeçalho X-Frame-Options
- Cookies não marcados como HttpOnly
- Cookies sem o atributo Secure
Em servidores dedicados ou VPS, é possível adicionar esses cabeçalhos diretamente na configuração do Apache ou Nginx. No entanto, para implementar essas medidas de segurança diretamente no WordPress, você pode seguir as instruções abaixo.
Importante: Após aplicar as mudanças, utilize a ferramenta Secure Headers Test para verificar os resultados.
A inclusão do cabeçalho X-Frame-Options no cabeçalho de resposta HTTP é uma medida eficaz para prevenir ataques de Clickjacking, uma vulnerabilidade identificada pelo Netsparker.
Como Implementar o Cabeçalho X-Frame-Options
- Localize o diretório onde o WordPress está instalado. Se você utiliza um serviço de hospedagem compartilhada, geralmente você pode acessar através do cPanel >> Gerenciador de Arquivos.
- Faça um backup do arquivo
wp-config.php. - Edite o arquivo
wp-config.phpe adicione a seguinte linha:
header('X-Frame-Options: SAMEORIGIN');- Salve as alterações e atualize seu site para confirmar a implementação.
Protegendo Cookies com os Atributos HTTPOnly e Secure no WordPress
Ao marcar um cookie com o atributo HTTPOnly, você instrui o navegador a permitir que ele seja acessado apenas pelo servidor, aumentando a proteção contra ataques de Cross-Site Scripting (XSS).
O atributo Secure indica ao navegador que o cookie só deve ser transmitido através de canais SSL seguros, adicionando uma camada extra de segurança para cookies de sessão.
Observação: Essa configuração é eficaz em sites HTTPS. Se seu site ainda estiver em HTTP, é altamente recomendável migrar para HTTPS para aumentar a segurança.
Como Configurar os Atributos HTTPOnly e Secure para Cookies
- Faça um backup do arquivo
wp-config.php. - Edite o arquivo
wp-config.phpe adicione as seguintes linhas:
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);- Salve as alterações e atualize seu site para verificar a implementação.
Se preferir não modificar o código diretamente, você pode utilizar um plugin de segurança, como o WP Simple Firewall, que oferece proteção contra iFrames e ataques XSS.
Após instalar o plugin, acesse as configurações de cabeçalhos HTTP e ative os recursos desejados.
Espero que estas instruções ajudem a fortalecer a segurança do seu site WordPress.
Espere, tem mais…
Deseja implementar cabeçalhos de segurança adicionais?
O OWASP recomenda 10 cabeçalhos de segurança essenciais. Se você utiliza um VPS ou servidor em nuvem, consulte este guia de implementação para Apache e Nginx. Para usuários de hospedagem compartilhada ou que desejam configurar diretamente no WordPress, experimente este plugin.
Conclusão
A segurança de um site é um processo contínuo que exige atenção e esforço constante. Para simplificar essa tarefa, você pode considerar o uso de um serviço especializado como o SUCURI WAF, que oferece proteção completa e otimização de desempenho para seu site.
Gostou deste artigo? Compartilhe com seus amigos e colegas!