Proteja el sitio web de WordPress de XSS, Clickjacking y algunos otros ataques
Asegurar su sitio es esencial para su presencia comercial en línea. Durante el fin de semana, hice un análisis de seguridad en mi sitio web de WordPress a través de Acunetix y Netsparker y encontraron las siguientes vulnerabilidades.
- Falta el encabezado X-Frame-Options
- Cookie no marcada como HttpOnly
- Cookie sin marca segura establecida
Si está en una nube dedicada o VPS, puede inyectar directamente estos encabezados en APACHE or Nginx para mitigarlo. Sin embargo, para hacer esto directamente en WordPress, puede hacer lo siguiente.
Nota:: después de la implementación, puede usar el Herramienta de prueba de encabezados seguros para verificar los resultados.
X-Frame-Options Header in WordPress
Tener esto inyectado en el encabezado evitará Clickjacking Ataques A continuación fue descubierto por Netsparker.

Solución:
- Vaya a la ruta donde está instalado WordPress. Si está en un alojamiento compartido, puede iniciar sesión en cPanel >> Administrador de archivos
- Realice una copia de seguridad de wp-config.php
- Edite el archivo y agregue la siguiente línea
header('X-Frame-Options: SAMEORIGIN');
- Guarde y actualice su sitio web para verificar.
Cookie with HTTPOnly and Secure flag in WordPress
Tener Cookie con HTTPOnly le indica al navegador que confíe en la cookie solo por parte del servidor, lo que agrega una capa de protección contra ataques XSS.

El indicador de seguridad en la cookie le indica al navegador que se puede acceder a la cookie a través de canales SSL seguros, lo que agrega una capa de protección para la cookie de sesión.

Nota:: Esto funcionaría en el sitio web HTTPS. Si todavía está en HTTP, puede considerar cambiar a HTTPS para mayor seguridad.
Solución:
- Realice una copia de seguridad de wp-config.php
- Edite el archivo y agregue la siguiente línea
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);
- Guarde el archivo y actualice su sitio web para verificarlo.
Si no le gusta piratear el código, alternativamente, puede usar Complemento de escudo, que le ayudará a bloquear iFrames y protegerse de los ataques XSS.
Una vez que instale el complemento, vaya a los encabezados HTTP y habilítelos.

Espero que lo anterior le ayude a mitigar las vulnerabilidades de WordPress.
Espera antes de irte ...
¿Está buscando implementar encabezados más seguros?
Hay 10 encabezados seguros recomendados por OWASP, y si usa VPS o Cloud, consulte esto guía de implementación para Apache y Nginx. Sin embargo, si está en alojamiento compartido o desea hacerlo dentro de WordPress, intente esto plugin.
Conclusión
Asegurar un sitio es un desafío y requiere esfuerzos continuos. Si está buscando descargar el dolor de cabeza de seguridad al experto, entonces puede intentar WAF SUCURI, que se ocupa de la protección y el rendimiento completos del sitio web por usted.