Beskytt din WordPress-side mot XSS, Clickjacking og andre angrep
Det er av største betydning å sikre nettstedet ditt for å opprettholde en trygg online tilstedeværelse. Nylig utførte jeg en sikkerhetssjekk av min WordPress-side med Acunetix og Netsparker. Dette avdekket noen sikkerhetssårbarheter:
- Manglende X-Frame-Options-header
- Informasjonskapsler (cookies) som ikke er merket som HttpOnly
- Informasjonskapsler som mangler Secure-flagget
Dersom du benytter dedikert Cloud eller VPS hosting, kan du legge til disse headerne direkte i Apache eller Nginx. For de som ønsker å gjøre dette direkte i WordPress, følg disse stegene.
Viktig: Etter implementeringen kan du bekrefte endringene med testverktøyet Secure Headers.
Ved å inkludere dette i headeren, forhindrer du Clickjacking-angrep, som ble oppdaget av Netsparker.
Løsning for X-Frame-Options
- Naviger til mappen der WordPress er installert. Er du på delt hosting, kan du logge inn på cPanel og deretter filbehandleren.
- Ta en kopi av filen wp-config.php som sikkerhetskopi.
- Rediger filen og legg til følgende linje:
header('X-Frame-Options: SAMEORIGIN');
- Lagre endringene og oppdater nettsiden for å bekrefte.
Informasjonskapsler med HTTPOnly og Secure flagg i WordPress
Ved å bruke HTTPOnly flagget, instruerer du nettleseren om at informasjonskapselen kun skal håndteres av serveren. Dette gir ekstra beskyttelse mot XSS-angrep.
Secure-flagget sørger for at informasjonskapselen kun er tilgjengelig via sikre SSL-kanaler, som legger til et beskyttelseslag for sesjonsinformasjonskapsler.
Merk: Dette fungerer kun på HTTPS-sider. Hvis du fortsatt bruker HTTP, bør du vurdere å bytte til HTTPS for bedre sikkerhet.
Løsning for HTTPOnly og Secure Cookies
- Ta en sikkerhetskopi av wp-config.php
- Rediger filen og legg til følgende linjer:
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);
- Lagre filen og oppdater nettsiden for å verifisere.
Hvis du foretrekker å unngå manuell kodeendring, kan du bruke Shield-plugin. Dette hjelper deg med å blokkere iFrames og beskytter mot XSS-angrep.
Etter installasjon av pluginet, gå til HTTP-headers og aktiver funksjonene.
Jeg håper disse tipsene hjelper deg å redusere sårbarheter i WordPress.
Men vent litt før du drar…
Ønsker du å implementere enda sikrere overskrifter?
OWASP anbefaler 10 sikre overskrifter. Hvis du bruker VPS eller Cloud, finnes det en egen veiledning for Apache og Nginx. Men for delt hosting eller implementering i WordPress, prøv dette pluginet.
Konklusjon
Det er en kontinuerlig prosess å sikre et nettsted. Hvis du ønsker at en ekspert tar seg av sikkerheten, kan du teste SUCURI WAF som gir komplett beskyttelse av nettsiden og optimaliserer ytelsen.
Likte du denne artikkelen? Del den gjerne med andre!