srcmini本文概述
保护WordPress网站免受XSS, Clickjacking和其他一些攻击
保护你的网站对于在线业务的存在至关重要。整个周末, 我通过Acunetix和Netsparker在WordPress网站上进行了安全扫描, 发现了以下漏洞。
- 缺少X-Frame-Options标头
- Cookie未标记为HttpOnly
- 未设置安全标志的Cookie
如果你使用专用的Cloud或VPS托管, 则可以将这些标头直接注入Apache或Nginx中以减轻负担。但是, 要直接在WordPress中执行此操作–你可以执行以下操作。
注意:实施后, 你可以使用安全标头测试工具来验证结果。
WordPress中的X-Frame-Options标头
在Header中注入此内容将防止Clickjacking攻击。下面是Netsparker发现的。
解:
- 转到安装WordPress的路径。如果你使用共享主机, 则可以登录cPanel >>文件管理器
- 备份wp-config.php
- 编辑文件并添加以下行
header('X-Frame-Options: SAMEORIGIN');- 保存并刷新你的网站以进行验证。
WordPress中带有HTTPOnly和Secure标志的Cookie
将Cookie与HTTPOnly配合使用将指示浏览器仅由服务器信任该cookie, 这为XSS攻击增加了一层保护。
cookie中的安全标志指示浏览器可以通过安全SSL通道访问cookie, 从而为会话cookie添加了一层保护。
注意:这可以在HTTPS网站上使用。如果你仍使用HTTP, 则可以考虑切换到HTTPS以提高安全性。
解:
- 备份wp-config.php
- 编辑文件并添加以下行
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);- 保存文件并刷新你的网站以进行验证。
如果你不喜欢修改代码, 则可以使用Shield插件, 该插件将帮助你阻止iFrame和保护其免受XSS攻击。
安装插件后, 转到HTTP标头并启用它们。
我希望以上内容可以帮助你缓解WordPress漏洞。
等你走…
你是否希望实现更安全的标头?
推荐使用10个OWASP安全标头, 如果使用VPS或Cloud, 请查看此Apache和Nginx实施指南。但是, 如果在共享主机上或要在WordPress中进行, 请尝试使用此插件。
总结
保护网站安全是一项挑战, 需要持续不断的努力。如果你希望减轻安全问题的负担, 那么你可以尝试SUCURI WAF, 它可以为你提供完整的网站保护和性能。
评论前必须登录!
注册