WordPress seguro com X-Frame-Options e cookie HTTPOnly

Por
Twittar
Compartilhar
Compartilhar
Pin

Proteja o site WordPress de XSS, Clickjacking e alguns outros ataques

Proteger seu site é essencial para sua presença comercial online. No fim de semana, fiz uma verificação de segurança no meu site WordPress através do Acunetix e do Netsparker e encontrei as seguintes vulnerabilidades.

  • Cabeçalho X-Frame-Options ausente
  • Cookie não marcado como HttpOnly
  • Cookie sem conjunto de sinalizador seguro

Se você estiver em uma hospedagem dedicada em nuvem ou VPS, poderá injetar diretamente esses cabeçalhos no Apache ou Nginx para atenuá-lo. No entanto, para fazer isso diretamente no WordPress – você pode fazer o seguinte.

Observação: após a implementação, você pode usar a ferramenta Secure Headers Test para verificar os resultados.

  Como fazer uma linha de título em uma planilha do Excel

Ter isso injetado no cabeçalho impedirá Clickjacking ataques. Abaixo foi descoberto por Netsparker.

Solução:

  • Vá para o caminho onde o WordPress está instalado. Se você estiver Hospedagem Compartilhadavocê pode entrar no cPanel >> Gerenciador de Arquivos
  • Faça um backup de wp-config.php
  • Edite o arquivo e adicione a seguinte linha
header('X-Frame-Options: SAMEORIGIN');
  • Salve e atualize seu site para verificar.

Ter Cookie com HTTPOnly instrui o navegador a confiar no cookie apenas pelo servidor, o que adiciona uma camada de proteção contra ataques XSS.

O sinalizador de segurança no cookie instrui o navegador de que o cookie é acessível por meio de canais SSL seguros, que adicionam uma camada de proteção ao cookie de sessão.

  Quanto custa uma assinatura do Netflix?

Nota: Isso funcionaria no site HTTPS. Se você ainda estiver em HTTP, considere mudar para HTTPS para maior segurança.

Solução:

  • Faça um backup de wp-config.php
  • Edite o arquivo e adicione a seguinte linha
@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);
  • Salve o arquivo e atualize seu site para verificá-lo.

Se você não gosta de hackear o código, então, alternativamente, você pode usar Plug-in de proteçãoque o ajudará a bloquear iFrames e proteger contra ataques XSS.

Depois de instalar o plug-in, vá para os cabeçalhos HTTP e ative-os.

Espero que o acima o ajude a mitigar as vulnerabilidades do WordPress.

Espere antes de ir…

Você está procurando implementar cabeçalhos mais seguros?

Existem 10 cabeçalhos seguros recomendados pelo OWASP e, se estiver usando VPS ou Cloud, confira este guia de implementação para Apache e Nginx. No entanto, se estiver em hospedagem compartilhada ou quiser fazê-lo no WordPress, tente isso plugar.

  Como ver um mundo de cor corrigida usando seu iPhone

Conclusão

Proteger um site é um desafio e requer esforços contínuos. Se você deseja descarregar a dor de cabeça de segurança para o especialista, tente SUCURI WAFque cuida da proteção e do desempenho completos do site para você.

Gostou de ler o artigo? Que tal compartilhar com o mundo?