geekflare
Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
By chandan kumar in Seguridad  |  Última actualización: 11 de abril de 2023
Comparte en:

Wordpress seguro con X-Frame-Options y HTTPOnly Cookie

encabezados seguros wp
Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Proteja el sitio web de WordPress de XSS, Clickjacking y algunos otros ataques

Asegurar su sitio es esencial para su presencia comercial en línea. Durante el fin de semana, hice un análisis de seguridad en mi sitio web de WordPress a través de Acunetix y Netsparker y encontraron las siguientes vulnerabilidades.

  • Falta el encabezado X-Frame-Options
  • Cookie no marcada como HttpOnly
  • Cookie sin marca segura establecida

Si está en una nube dedicada o VPS, puede inyectar directamente estos encabezados en APACHE or Nginx para mitigarlo. Sin embargo, para hacer esto directamente en WordPress, puede hacer lo siguiente.

Nota:: después de la implementación, puede usar el Herramienta de prueba de encabezados seguros para verificar los resultados.

X-Frame-Options Header in WordPress

Tener esto inyectado en el encabezado evitará Clickjacking Ataques A continuación fue descubierto por Netsparker.

Encabezado X-Frame-Options en WordPress

Solución:

  • Vaya a la ruta donde está instalado WordPress. Si está en un alojamiento compartido, puede iniciar sesión en cPanel >> Administrador de archivos
  • Realice una copia de seguridad de wp-config.php
  • Edite el archivo y agregue la siguiente línea
header('X-Frame-Options: SAMEORIGIN');
  • Guarde y actualice su sitio web para verificar.

Tener Cookie con HTTPOnly le indica al navegador que confíe en la cookie solo por parte del servidor, lo que agrega una capa de protección contra ataques XSS.

httponly-cookie-wordpress

El indicador de seguridad en la cookie le indica al navegador que se puede acceder a la cookie a través de canales SSL seguros, lo que agrega una capa de protección para la cookie de sesión.

bandera-segura-cookie

Nota:: Esto funcionaría en el sitio web HTTPS. Si todavía está en HTTP, puede considerar cambiar a HTTPS para mayor seguridad.

Solución:

  • Realice una copia de seguridad de wp-config.php
  • Edite el archivo y agregue la siguiente línea
@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);
  • Guarde el archivo y actualice su sitio web para verificarlo.

Si no le gusta piratear el código, alternativamente, puede usar Complemento de escudo, que le ayudará a bloquear iFrames y protegerse de los ataques XSS.

Una vez que instale el complemento, vaya a los encabezados HTTP y habilítelos.

encabezados-http-shield

Espero que lo anterior le ayude a mitigar las vulnerabilidades de WordPress.

Espera antes de irte ...

¿Está buscando implementar encabezados más seguros?

Hay 10 encabezados seguros recomendados por OWASP, y si usa VPS o Cloud, consulte esto guía de implementación para Apache y Nginx. Sin embargo, si está en alojamiento compartido o desea hacerlo dentro de WordPress, intente esto plugin.

Conclusión

Asegurar un sitio es un desafío y requiere esfuerzos continuos. Si está buscando descargar el dolor de cabeza de seguridad al experto, entonces puede intentar WAF SUCURI, que se ocupa de la protección y el rendimiento completos del sitio web por usted.

Gracias a nuestros patrocinadores
Más lecturas interesantes sobre seguridad
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • invicti
    Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Datos brillantes
    Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Semrush
    Semrush es una solución de marketing digital todo en uno con más de 50 herramientas en SEO, redes sociales y marketing de contenido.
    Prueba Semrush
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Intente Intruder