Bảo vệ trang web WordPress của bạn khỏi XSS, Clickjacking và các cuộc tấn công khác
Bảo mật trang web của bạn là điều cần thiết cho sự hiện diện trực tuyến của bạn. Cuối tuần qua, tôi đã thực hiện quét bảo mật trên trang web WordPress của mình thông qua Acunetix và Netsparker và tìm thấy các lỗ hổng sau.
- Tiêu đề X-Frame-Options bị thiếu
- Cookie không được đánh dấu là HttpOnly
- Cookie không có cờ Bảo mật được đặt
Nếu bạn đang sử dụng dịch vụ lưu trữ đám mây hoặc VPS chuyên dụng, bạn có thể đưa trực tiếp các tiêu đề này vào Apache hoặc Nginx để giảm thiểu điều này. Tuy nhiên, để làm điều đó trực tiếp trong WordPress – bạn có thể làm như sau.
Lưu ý: Sau khi triển khai, bạn có thể sử dụng công cụ Kiểm tra tiêu đề bảo mật để xác minh kết quả.
Chèn phần này vào tiêu đề sẽ ngăn chặn các cuộc tấn công Clickjacking. Dưới đây được phát hiện bởi Netsparker.
Dung dịch:
- Điều hướng đến đường dẫn mà WordPress đã được cài đặt. Nếu bạn đã bật shared hosting, bạn có thể đăng nhập vào cPanel >> File Manager
- Tạo một bản sao lưu của wp-config.php
- Chỉnh sửa tệp và thêm dòng sau
header('X-Frame-Options: SAMEORIGIN');- Lưu và làm mới trang web của bạn để xác minh.
Cookie với cờ HTTPOnly và Bảo mật trong WordPress
Việc có Cookie với HTTPOnly hướng dẫn trình duyệt chỉ tin tưởng cookie thông qua máy chủ, điều này bổ sung thêm một lớp bảo vệ chống lại các cuộc tấn công XSS.
Cờ bảo mật trong cookie cho trình duyệt biết rằng cookie có thể truy cập được thông qua các kênh SSL an toàn có thêm một lớp bảo vệ cho cookie phiên.
Lưu ý: Điều này sẽ hoạt động trên trang web HTTPS. Nếu vẫn đang sử dụng HTTP, bạn có thể cân nhắc chuyển sang HTTPS để tăng cường bảo mật.
Dung dịch:
- Tạo một bản sao lưu của wp-config.php
- Chỉnh sửa tệp và thêm dòng sau
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);- Lưu tệp và làm mới trang web của bạn để xác minh.
Nếu không thích hack mã, bạn có thể sử dụng plugin Lá chắn để giúp bạn chặn iFrame và bảo vệ khỏi các cuộc tấn công XSS.
Sau khi cài đặt plugin, hãy chuyển đến tiêu đề HTTP và bật chúng.
Tôi hy vọng những điều trên sẽ giúp bạn giảm thiểu các lỗ hổng WordPress.
Đợi trước khi đi…
Bạn có muốn triển khai các tiêu đề an toàn hơn không?
Có 10 tiêu đề bảo mật OWASP được đề xuất và nếu bạn đang sử dụng VPS hoặc Đám mây, hãy xem hướng dẫn triển khai này cho Apache và Nginx. Tuy nhiên, nếu bạn đang sử dụng dịch vụ lưu trữ được chia sẻ hoặc muốn làm điều đó trong WordPress, hãy thử cắm nó vào.
Đăng kí
Bảo mật trang web của bạn là một thách thức và đòi hỏi những nỗ lực liên tục. Nếu bạn muốn giao vấn đề bảo mật của mình cho một chuyên gia, bạn có thể dùng thử SUCURI WAF cung cấp khả năng bảo vệ và hiệu suất trang web đầy đủ.
Thích bài viết? Làm thế nào về chia sẻ với thế giới?
