本文概述
- WordPress中的X-Frame-Options标头
- WordPress中带有HTTPOnly和Secure标志的Cookie
保护你的网站对于在线业务的存在至关重要。整个周末, 我通过Acunetix和Netsparker在WordPress网站上进行了安全扫描, 发现了以下漏洞。
- 缺少X-Frame-Options标头
- Cookie未标记为HttpOnly
- 未设置安全标志的Cookie
注意:实施后, 你可以使用安全标头测试工具来验证结果。
WordPress中的X-Frame-Options标头 在Header中注入此内容将防止Clickjacking攻击。下面是Netsparker发现的。
文章图片
解:
- 转到安装WordPress的路径。如果你使用共享主机, 则可以登录cPanel > > 文件管理器
- 备份wp-config.php
- 编辑文件并添加以下行
header('X-Frame-Options: SAMEORIGIN');
- 保存并刷新你的网站以进行验证。
文章图片
cookie中的安全标志指示浏览器可以通过安全SSL通道访问cookie, 从而为会话cookie添加了一层保护。
文章图片
注意:这可以在HTTPS网站上使用。如果你仍使用HTTP, 则可以考虑切换到HTTPS以提高安全性。
解:
- 备份wp-config.php
- 编辑文件并添加以下行
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);
- 保存文件并刷新你的网站以进行验证。
安装插件后, 转到HTTP标头并启用它们。
文章图片
我希望以上内容可以帮助你缓解WordPress漏洞。
等你走…
你是否希望实现更安全的标头?
推荐使用10个OWASP安全标头, 如果使用VPS或Cloud, 请查看此Apache和Nginx实施指南。但是, 如果在共享主机上或要在WordPress中进行, 请尝试使用此插件。
总结
【使用X-Frame-Options和HTTPOnly Cookie保护WordPress】保护网站安全是一项挑战, 需要持续不断的努力。如果你希望减轻安全问题的负担, 那么你可以尝试SUCURI WAF, 它可以为你提供完整的网站保护和性能。
推荐阅读
- 防止安全威胁的8个WordPress WAF
- 如何保护WordPress免受蛮力攻击()
- 5个加强和保护WordPress网站的实时提示
- 如何使用WPScan在WordPress网站上查找安全漏洞()
- Android位置已被弃用()
- 使用firebase排序最近的地方(android)[重复]
- 某些设备按下按钮时获取应用程序中的位置时Android无响应
- Android Compass指向我的位置而不是北
- Android在服务中使用Geocoder获取位置地址