使用X-Frame-Options和HTTPOnly Cookie保护WordPress

本文概述

WordPress中的X-Frame-Options标头
WordPress中带有HTTPOnly和Secure标志的Cookie

保护WordPress网站免受XSS, Clickjacking和其他一些攻击
保护你的网站对于在线业务的存在至关重要。整个周末, 我通过Acunetix和Netsparker在WordPress网站上进行了安全扫描, 发现了以下漏洞。

缺少X-Frame-Options标头
Cookie未标记为HttpOnly
未设置安全标志的Cookie

如果你使用专用的Cloud或VPS托管, 则可以将这些标头直接注入Apache或Nginx中以减轻负担。但是, 要直接在WordPress中执行此操作–你可以执行以下操作。
注意：实施后, 你可以使用安全标头测试工具来验证结果。
WordPress中的X-Frame-Options标头在Header中注入此内容将防止Clickjacking攻击。下面是Netsparker发现的。

使用X-Frame-Options和HTTPOnly Cookie保护WordPress

文章图片
解：

转到安装WordPress的路径。如果你使用共享主机, 则可以登录cPanel > > 文件管理器
备份wp-config.php
编辑文件并添加以下行

header('X-Frame-Options: SAMEORIGIN');

保存并刷新你的网站以进行验证。

WordPress中带有HTTPOnly和Secure标志的Cookie 将Cookie与HTTPOnly配合使用将指示浏览器仅由服务器信任该cookie, 这为XSS攻击增加了一层保护。

文章图片
cookie中的安全标志指示浏览器可以通过安全SSL通道访问cookie, 从而为会话cookie添加了一层保护。

文章图片
注意：这可以在HTTPS网站上使用。如果你仍使用HTTP, 则可以考虑切换到HTTPS以提高安全性。
解：

备份wp-config.php
编辑文件并添加以下行

@ini_set('session.cookie_httponly', true); @ini_set('session.cookie_secure', true); @ini_set('session.use_only_cookies', true);

保存文件并刷新你的网站以进行验证。

如果你不喜欢修改代码, 则可以使用Shield插件, 该插件将帮助你阻止iFrame和保护其免受XSS攻击。
安装插件后, 转到HTTP标头并启用它们。

文章图片
我希望以上内容可以帮助你缓解WordPress漏洞。
等你走…
你是否希望实现更安全的标头？
推荐使用10个OWASP安全标头, 如果使用VPS或Cloud, 请查看此Apache和Nginx实施指南。但是, 如果在共享主机上或要在WordPress中进行, 请尝试使用此插件。
总结
【使用X-Frame-Options和HTTPOnly Cookie保护WordPress】保护网站安全是一项挑战, 需要持续不断的努力。如果你希望减轻安全问题的负担, 那么你可以尝试SUCURI WAF, 它可以为你提供完整的网站保护和性能。