Geekflare
In Seguridad y WordPress  |  Última actualizaciónated:
Comparte en:
Software de Jira es la herramienta de gestión de proyectos número uno utilizada por equipos ágiles para planificar, rastrear, lanzar y respaldar software excelente.

Wordpress seguro con X-Frame-Options y HTTPOnly Cookie

By
encabezados seguros wp

Proteja el sitio web de WordPress de XSS, Clickjacking y algunos otros ataques

Asegurar su sitio es esencial para su presencia comercial en línea. Durante el fin de semana, hice un análisis de seguridad en mi sitio web de WordPress a través de Acunetix y Netsparker y encontraron las siguientes vulnerabilidades.

  • Falta el encabezado X-Frame-Options
  • Cookie no marcada como HttpOnly
  • Cookie sin marca segura establecida

Si estás en dedicated Nube o VPS, puede inyectar directamente estos encabezados en APACHE or Nginx mitigarate él. Sin embargo, para hacer esto directamente en WordPress, puede hacer lo siguiente.

Nota: después de la implementación, puede usar el Herramienta de prueba de encabezados seguros para verificar los resultados.

Encabezado X-Frame-Options en WordPress

Tener esto inyectado en el encabezado prevent Clickjacking Ataques A continuación fue descubierto por Netsparker.

Encabezado X-Frame-Options en WordPress
Encabezado X-Frame-Options en WordPress
Encabezado X-Frame-Options en WordPress

Solución:

  • Vaya a la ruta donde está instalado WordPress. Si tiene un hosting compartido, puede iniciar sesión cPanel >> Administrador de archivos
  • Realice una copia de seguridad de wp-config.php
  • Edite el archivo y agregue la siguiente línea
header('X-Frame-Options: SAMEORIGIN');
  • Guarde y actualice su sitio web para verificar.

Tener Cookie con HTTPOnly le indica al browser confiar en la cookie sólo por el servidor, lo que añade una capa de protección contra ataques XSS.

httpsolo-cookie-wordpress
httpsolo-cookie-wordpress
httpsolo-cookie-wordpress

La bandera segura en la cookie indica al browsAsegúrese de que se pueda acceder a la cookie a través de canales SSL seguros, que agregan una capa de protección para la cookie de sesión.

bandera-segura-cookie
bandera-segura-cookie
bandera-segura-cookie

Nota: Esto funcionaría en el sitio web HTTPS. Si todavía está en HTTP, puede considerar cambiar a HTTPS para mayor seguridad.

Solución:

  • Realice una copia de seguridad de wp-config.php
  • Edite el archivo y agregue la siguiente línea
@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);
  • Guarde el archivo y actualice su sitio web para verificarlo.

Si no le gusta piratear el código, alternativamente, puede usar Complemento de escudo, que le ayudará a bloquear iFrames y protegerse de los ataques XSS.

Una vez que instale el complemento, vaya a los encabezados HTTP y habilítelos.

encabezados-http-shield
encabezados-http-shield
encabezados-http-shield

Espero que lo anterior le ayude a mitigar las vulnerabilidades de WordPress.

Espera antes de irte ...

¿Está buscando implementar encabezados más seguros?

Hay 10 encabezados seguros recomendados por OWASP, y si usa VPS o Cloud, consulte esto guía de implementación para Apache y Nginx. Sin embargo, si está en alojamiento compartido o desea hacerlo dentro de WordPress, intente esto plugin.

Conclusión

Proteger un sitio es un desafío y requiere efforts. Si está buscando descargar el dolor de cabeza de seguridad al experto, entonces puede intentar SUCURI WAF, que se ocupa de la protección y el rendimiento completos del sitio web por usted.

Comparte en:
  • chandan kumar
    Autor
    Chandan Kumar es un entusiasta experimentado de la tecnología y un apasionado emprendedor.ate Sobre Nosotros empowering empresas y personas a nivel mundialally. Como fundador de Geekflare, una publicación tecnológica líder, Chandan ha encabezado el desarrollo...

Gracias a nuestros patrocinadores

Más lecturas interesantes sobre seguridad

Impulse su negocio

Algunas de las herramientas y servicios para ayudar a su negocio grow.
  • Murf AI

    La herramienta de conversión de texto a voz que utiliza IA para generarate Voces realistas parecidas a las humanas.

    Intente Murf AI
  • Datos brillantes

    Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.

    Prueba Brightdata
  • Monday.com

    Monday.com es un sistema operativo de trabajo todo en uno para ayudarlo a administrar proyectos, tareas, trabajo, ventas, CRM, operaciones, workflows, y más.

    Intente Monday
  • Intruder

    Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.

    Intente Intruder