Proteja su sitio web WordPress de XSS, Clickjacking y algunos otros ataques

Proteger su sitio web es esencial para la presencia de su negocio en línea. Durante el fin de semana, realicé un análisis de seguridad en mi sitio web WordPress a través de Acunetix y Netsparker y encontré las siguientes vulnerabilidades.

  • Falta el encabezado X-Frame-Options
  • Cookie no marcada como HttpOnly
  • Cookie sin la bandera Secure establecida

Si está en un alojamiento dedicado Cloud o VPS, puede inyectar directamente estas cabeceras en Apache o Nginx para mitigarlo. Sin embargo, para hacerlo directamente en WordPress – puede hacer lo siguiente.

Nota: después de la implementación, puede utilizar la herramienta de prueba de encabezados seguros para verificar los resultados.

Encabezado X-Frame-Options en WordPress

Tener esto inyectado en el Encabezado prevendrá ataques de Clickjacking. Lo siguiente fue descubierto por Netsparker.

X-Frame-Options Header in WordPress

Solución:

  • Vaya a la ruta donde está instalado WordPress. Si está en un alojamiento compartido, puede acceder a cPanel >> Administrador de archivos
  • Haga una copia de seguridad de wp-config.php
  • Edite el archivo y añada la siguiente línea
header('X-Frame-Options: SAMEORIGIN');
  • Guarde y actualice su sitio web para verificarlo.

Tener Cookie con HTTPOnly instruye al navegador a confiar en la cookie sólo por el servidor, lo que añade una capa de protección contra ataques XSS.

httponly-cookie-wordpress

La bandera segura en la cookie instruye al navegador que la cookie es accesible a través de canales SSL seguros, lo que añade una capa de protección para la cookie de sesión.

cookie-secure-flag

Nota: Esto funcionaría en el sitio web HTTPS. Si todavía está en HTTP, puede considerar cambiar a HTTPS para mayor seguridad.

Solución:

  • Haga una copia de seguridad de wp-config.php
  • Edite el archivo y añada la siguiente línea
@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);
  • Guarde el archivo y actualice su sitio web para verificarlo.

Si no le gusta hackear el código, entonces alternativamente, puede utilizar el plugin Shield, que le ayudará a bloquear iFrames & y protegerle de ataques XSS.

Una vez que instale el plugin, vaya a las cabeceras HTTP y habilítelas.

shield-http-headers

Espero que lo anterior le ayude a mitigar las vulnerabilidades de WordPress.

Espere antes de irse…

¿Quiere implementar más cabeceras seguras?

Hay 10 cabeceras seguras recomendadas por OWASP, y si utiliza VPS o Cloud, consulte esta guía de implementación para Apache y Nginx. Sin embargo, si está en un alojamiento compartido o quiere hacerlo dentro de WordPress, entonces pruebe este plugin.

Conclusión

Asegurar un sitio es un reto y requiere esfuerzos continuos. Si está buscando descargar el dolor de cabeza de la seguridad al experto, entonces puede probar SUCURI WAF, que se ocupa de la protección completa del sitio web y el rendimiento para usted.