使用X-Frame-Options和HTTPOnly Cookie保护WordPress安全

保护WordPress网站免受XSS、点击劫持和其他攻击

保护您的网站对于您的在线业务至关重要。在周末，我通过Acunetix和Netsparker对我的WordPress网站进行了安全扫描，并发现了以下漏洞。

• 缺少X-Frame-Options标头
• Cookie未标记为HttpOnly
• Cookie未设置安全标志

如果您使用的是专用云或VPS hosting，您可以直接在Apache或Nginx中注入这些标头以减轻风险。然而，要直接在WordPress中执行此操作，可以按照以下步骤操作。

注意：在实施后，您可以使用Secure Headers Test tool来验证结果。

WordPress中的X-Frame-Options标头

将此注入到标头中将防止Clickjacking攻击。以下是Netsparker发现的。

解决方案：

• 转到安装WordPress的路径。如果您使用的是共享主机，您可以登录cPanel >> 文件管理器
• 备份wp-config.php文件
• 编辑文件并添加以下行

header('X-Frame-Options: SAMEORIGIN');

• 保存并刷新您的网站以进行验证。

WordPress中的HTTPOnly和Secure标志的Cookie

使用HTTPOnly的Cookie指示浏览器只信任服务器添加的Cookie，这增加了对XSS攻击的保护层。

Cookie中的Secure标志指示浏览器Cookie只能通过安全的SSL通道访问，这为会话Cookie添加了一层保护。

注意：这将只在HTTPS网站上起作用。如果您仍在使用HTTP，请考虑切换到HTTPS for better security。

解决方案：

• 备份wp-config.php文件
• 编辑文件并添加以下行

@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);

• 保存文件并刷新您的网站以进行验证。

如果您不想修改代码，那么您可以使用Shield plugin，它将帮助您阻止iFrames并保护免受XSS攻击。

安装插件后，转到HTTP标头并启用它们。

我希望上述内容对您减轻WordPress漏洞有所帮助。

在您离开之前，请稍等…

您是否希望实施更安全的标头？

有10个OWASP推荐的安全标头，如果使用VPS或云服务器，请查看此implementation guide for Apache and Nginx。然而，如果您使用的是共享主机或者想在WordPress内部执行此操作，请尝试此plugin。

结论

保护网站是具有挑战性的，需要持续的努力。如果您希望将安全问题交给专家处理，那么您可以尝试使用SUCURI WAF，它可以为您提供完整的网站保护和性能优化。