Schützen Sie die WordPress-Website vor XSS, Clickjacking und einigen anderen Angriffen

Die Sicherung Ihrer Website ist für Ihre Online-Geschäftspräsenz von entscheidender Bedeutung. Über das Wochenende habe ich einen Sicherheitsscan auf meiner WordPress-Website durchgeführt Acunetix und Netsparker und fand die folgenden Schwachstellen.

  • Fehlender X-Frame-Options-Header
  • Cookie nicht als HttpOnly markiert
  • Cookie ohne sicheres Flag gesetzt

Wenn Sie sich in einer dedizierten Cloud befinden oder VPS-Hosting, können Sie diese Header direkt einfügen Apache or Nginx um es zu mildern. Um dies jedoch direkt in WordPress zu tun, können Sie Folgendes tun.

Hinweis: Nach der Implementierung können Sie die verwenden Test-Tool für sichere Header um die Ergebnisse zu überprüfen.

X-Frame-Options Header in WordPress

Wenn dies in den Header eingefügt wird, wird dies verhindert Clickjacking Anschläge. Unten wurde von Netsparker entdeckt.

X-Frame-Options-Header in WordPress

Lösung:

  • Gehen Sie zu dem Pfad, in dem WordPress installiert ist. Wenn Sie Shared Hosting verwenden, können Sie sich bei cPanel >> File Manager anmelden
  • Erstellen Sie ein Backup von wp-config.php
  • Bearbeiten Sie die Datei und fügen Sie die folgende Zeile hinzu
header('X-Frame-Options: SAMEORIGIN');
  • Speichern und aktualisieren Sie Ihre Website, um dies zu überprüfen.

Wenn Sie ein Cookie mit HTTPOnly haben, wird der Browser angewiesen, dem Cookie nur vom Server zu vertrauen. Dies bietet eine zusätzliche Schutzschicht gegen XSS-Angriffe.

httponly-cookie-wordpress

Das sichere Flag im Cookie weist den Browser an, dass auf das Cookie über sichere SSL-Kanäle zugegriffen werden kann, die eine Schutzschicht für das Sitzungscookie hinzufügen.

Cookie-Secure-Flag

Hinweis: Dies würde auf der HTTPS-Website funktionieren. Wenn Sie immer noch auf HTTP sind, sollten Sie in Betracht ziehen, zu wechseln HTTPS für mehr Sicherheit.

Lösung:

  • Erstellen Sie ein Backup von wp-config.php
  • Bearbeiten Sie die Datei und fügen Sie die folgende Zeile hinzu
@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);
  • Speichern Sie die Datei und aktualisieren Sie Ihre Website, um sie zu überprüfen.

Wenn Sie den Code nicht hacken möchten, können Sie ihn alternativ verwenden Shield PluginDies hilft Ihnen, iFrames zu blockieren und vor XSS-Angriffen zu schützen.

Sobald Sie das Plugin installiert haben, gehen Sie zu den HTTP-Headern und aktivieren Sie sie.

Schild-http-Header

Ich hoffe, dass Ihnen das oben Genannte dabei hilft, die Schwachstellen in WordPress zu verringern.

Warten Sie, bevor Sie gehen ...

Möchten Sie sicherere Header implementieren?

Es gibt 10 von OWASP empfohlene sichere Header, und wenn Sie VPS oder Cloud verwenden, sehen Sie sich diese an Implementierungshandbuch für Apache und Nginx. Wenn Sie jedoch Shared Hosting verwenden oder dies in WordPress tun möchten, versuchen Sie dies Plugin.

Conclusion

Das Sichern einer Website ist eine Herausforderung und erfordert kontinuierliche Bemühungen. Wenn Sie die Sicherheitskopfschmerzen an den Experten abgeben möchten, können Sie es versuchen SUCURI WAF, das sich für Sie um den kompletten Website-Schutz und die Performance kümmert.