Protégez le site Web WordPress contre XSS, Clickjacking et quelques autres attaques
La sécurisation de votre site est essentielle pour votre présence commerciale en ligne. Au cours du week-end, j'ai effectué une analyse de sécurité sur mon site Web WordPress via Acunetix et Netsparker et a trouvé les vulnérabilités suivantes.
- En-tête X-Frame-Options manquant
- Cookie non marqué comme HttpOnly
- Cookie sans jeu de drapeau sécurisé
Si vous êtes sur Cloud dédié ou L'hébergement VPS, vous pouvez directement injecter ces en-têtes dans Apache or Nginx pour l'atténuer. Cependant, pour le faire directement dans WordPress, vous pouvez faire ce qui suit.
Notez les: après l'implémentation, vous pouvez utiliser le Outil de test des en-têtes sécurisés pour vérifier les résultats.
X-Frame-Options Header in WordPress
L'avoir injecté dans l'en-tête empêchera Clickjacking attaques. Ci-dessous a été découvert par Netsparker.
Solution:
- Accédez au chemin où WordPress est installé. Si vous êtes sur un hébergement partagé, vous pouvez vous connecter à cPanel >> Gestionnaire de fichiers
- Faites une sauvegarde de wp-config.php
- Modifiez le fichier et ajoutez la ligne suivante
header('X-Frame-Options: SAMEORIGIN');- Enregistrez et actualisez votre site Web pour le vérifier.
Cookie with HTTPOnly and Secure flag in WordPress
Avoir un cookie avec HTTPOnly indique au navigateur de ne faire confiance au cookie que par le serveur, ce qui ajoute une couche de protection contre les attaques XSS.
L'indicateur sécurisé dans le cookie indique au navigateur que le cookie est accessible via des canaux SSL sécurisés, qui ajoutent une couche de protection pour le cookie de session.
Notez les: Cela fonctionnerait sur le site Web HTTPS. Si vous êtes toujours sur HTTP, vous pouvez envisager de passer à HTTPS pour une meilleure sécurité.
Solution:
- Faites une sauvegarde de wp-config.php
- Modifiez le fichier et ajoutez la ligne suivante
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);- Enregistrez le fichier et actualisez votre site Web pour le vérifier.
Si vous n'aimez pas pirater le code, vous pouvez également utiliser Plugin de bouclier, qui vous aidera à bloquer les iFrames et à vous protéger des attaques XSS.
Une fois le plugin installé, accédez aux en-têtes HTTP et activez-les.
J'espère que ce qui précède vous aidera à atténuer les vulnérabilités de WordPress.
Attendez avant de partir…
Cherchez-vous à implémenter des en-têtes plus sécurisés?
Il y a 10 en-têtes sécurisés recommandés par l'OWASP, et si vous utilisez VPS ou Cloud, consultez ceci guide d'implémentation pour Apache et Nginx. Cependant, si vous êtes sur un hébergement partagé ou que vous souhaitez le faire dans WordPress, essayez ceci plug-in.
Conclusion
Sécuriser un site est un défi et nécessite des efforts continus. Si vous cherchez à décharger le casse-tête de la sécurité sur l'expert, vous pouvez essayer SUCURI WAF, qui s'occupe pour vous de la protection et des performances complètes du site Web.
