Proteja el sitio web de WordPress de XSS, Clickjacking y algunos otros ataques

Asegurar su sitio es esencial para su presencia comercial en línea. Durante el fin de semana, hice un análisis de seguridad en mi sitio web de WordPress a través de Acunetix y Netsparker y encontraron las siguientes vulnerabilidades.

  • Falta el encabezado X-Frame-Options
  • Cookie no marcada como HttpOnly
  • Cookie sin marca segura establecida

Si está en una nube dedicada o VPS, puede inyectar directamente estos encabezados en APACHE or Nginx para mitigarlo. Sin embargo, para hacer esto directamente en WordPress, puede hacer lo siguiente.

Nota:: después de la implementación, puede usar el Herramienta de prueba de encabezados seguros para verificar los resultados.

X-Frame-Options Header in WordPress

Tener esto inyectado en el encabezado evitará Clickjacking Ataques A continuación fue descubierto por Netsparker.

Encabezado X-Frame-Options en WordPress

Solución:

  • Vaya a la ruta donde está instalado WordPress. Si está en un alojamiento compartido, puede iniciar sesión en cPanel >> Administrador de archivos
  • Realice una copia de seguridad de wp-config.php
  • Edite el archivo y agregue la siguiente línea
header('X-Frame-Options: SAMEORIGIN');
  • Guarde y actualice su sitio web para verificar.

Tener Cookie con HTTPOnly le indica al navegador que confíe en la cookie solo por parte del servidor, lo que agrega una capa de protección contra ataques XSS.

httponly-cookie-wordpress

El indicador de seguridad en la cookie le indica al navegador que se puede acceder a la cookie a través de canales SSL seguros, lo que agrega una capa de protección para la cookie de sesión.

bandera-segura-cookie

Nota:: Esto funcionaría en el sitio web HTTPS. Si todavía está en HTTP, puede considerar cambiar a HTTPS para mayor seguridad.

Solución:

  • Realice una copia de seguridad de wp-config.php
  • Edite el archivo y agregue la siguiente línea
@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);
  • Guarde el archivo y actualice su sitio web para verificarlo.

Si no le gusta piratear el código, alternativamente, puede usar Complemento de escudo, que le ayudará a bloquear iFrames y protegerse de los ataques XSS.

Una vez que instale el complemento, vaya a los encabezados HTTP y habilítelos.

encabezados-http-shield

Espero que lo anterior le ayude a mitigar las vulnerabilidades de WordPress.

Espera antes de irte ...

¿Está buscando implementar encabezados más seguros?

Hay 10 encabezados seguros recomendados por OWASP, y si usa VPS o Cloud, consulte esto guía de implementación para Apache y Nginx. Sin embargo, si está en alojamiento compartido o desea hacerlo dentro de WordPress, intente esto plugin.

En resumen

Asegurar un sitio es un desafío y requiere esfuerzos continuos. Si está buscando descargar el dolor de cabeza de seguridad al experto, entonces puede intentar WAF SUCURI, que se ocupa de la protección y el rendimiento completos del sitio web por usted.