Protect HTTP headers in WordPress


Παρακάτω θα δούμε πως μπορείτε να ασφαλίσετε (όσο είναι δυνατόν) τα headers of WordPress που χρησιμοποιείτε. Τα ασφαλή HTTP headers θα σας βοηθήσουν να δυναμώσετε την θωράκιση του WordPress σε επιθέσεις κλείνοντας μερικά τρωτά σημεία.

Υπάρχουν συνολικά 6 HTTP headers που μπορείτε να εφαρμόσετε στην ιστοσελίδα σας, προσθέτοντας τον παρακάτω κώδικα στο αρχείο functions.php που βρίσκεται στο φάκελο themes.

WordPress

Content Security Policy ή (CSP)

Η πολιτική CSP συμβάλλει στην ασφάλεια από επιθέσεις XSS και χρησιμοποιεί λευκές λίστες για τις επιτρεπόμενες πηγές περιεχομένου, όπως scrips, css, και εικόνες. Ένα ασφαλές Content Security Policy μπορεί να αποτρέψει το πρόγραμμα περιήγησης από τη φόρτωση κακόβουλων scripts και άλλων στοιχείων.

Unfortunately, there is no code that fits all web pages. Before you create your own CSP, you need to evaluate the resources you really need to load. Of course to create it your own policy should be readif you want a policy based on your own requirements.

Your CSP can be added to the functions.php file.

You can try adding the following line:

header ('Content-Security-Policy: default-src \ 'self \' \ 'unsafe-inline \' \ 'unsafe-eval \' https: date: ');

Τι κάνει; η παραπάνω CSP επιτρέπει όλους τους τύπους των αρχείων από το δικό σας domain, “self.” To “unsafe-inline” επιτρέπει όλα τα δικά σας (inline) css & scripts και το “unsafe-eval” λέει ότι κάθε μη ασφαλής δυναμικός κώδικας, όπως το JS επιτρέπεται. ΤΑ Tags "https" and "date” επιτρέπουν τους πόρους να φορτώνονται μόνο μέσω HTTPS. Αν δεν χρησιμοποιείτε HTTPS αφήστε το σκέτο HTTP.

X-Frame-Options

Αυτό το header βοηθά στην πρόληψη Clickjacking υποδεικνύοντας σε ένα πρόγραμμα περιήγησης ότι δεν μπορεί να φορτώσει τη σελίδα σε ένα πλαίσιο (frame ή iframe).

Add the following policy to your functions.php like this:

header ('X-Frame-Options: SAMEORIGIN');

X-XSS-Protection και X-Content-Type-Options

Η X-XSS-Protection συμβάλλει στην προστασία από επιθέσεις cross-site scripting (XSS) επιθέσεις και η X-Content-Type-Options δίνει εντολή στον IE μαν μην κάνει sniffing σε τύπους mime (mime types). Το συγκεκριμένο header χρειάζεται για την πρόληψη επιθέσεων που σχετίζονται με mime-sniffing.

Add again to your functions.php:

header ('X-XSS-Protection: 1; mode = block '); header ('X-Content-Type-Options: nosniff ');

HTTP Strict Transport Security (HSTS)

That's it HSTS είναι ένας τρόπος για το διακομιστή να πει στο πρόγραμμα περιήγησης ότι θα πρέπει να επικοινωνούν με τον server only through HTTPS. Αν δεν χρησιμοποιείτε HTTPS παραλείψτε το παρακάτω βήμα.

Add the following code to functions.php:

header ('Strict-Transport-Security: max-age = 31536000; includeSubdomains; preload ');

Add Cookie με HTTPOnly και Secure flag on WordPress

Αυτή η εντολή λέει στο πρόγραμμα περιήγησης να εμπιστεύεται το cookie μόνο από τον server and that cookie είναι προσβάσιμο μέσω ασφαλών διαύλων SSL.

Add this to your functions.php file:

@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);

All the above together:

header ('Content-Security-Policy: default-src \ 'self \' \ 'unsafe-inline \' \ 'unsafe-eval \' https: date: '); header ('X-Frame-Options: SAMEORIGIN'); header ('X-XSS-Protection: 1; mode = block '); header ('X-Content-Type-Options: nosniff '); header ('Strict-Transport-Security: max-age = 31536000; includeSubdomains; preload '); @ini_set ('session.cookie_httponly', true); @ini_set ('session.cookie_secure', true); @ini_set ('session.use_only_cookies', true);

WordPress

Ένας άλλος τρόπος για να ασφαλίσετε τα HTTP headers είναι μέσω του αρχείου ..htaccess. Παρακάτω είναι ο κώδικας που μπορείτε να προσθέσετε στο αρχείο ..htaccess που βρίσκεται στο / του WordPress your:

Header set Strict-Transport-Security "max-age = 31536000; includeSubDomains" Header set X-XSS-Protection "1; mode = block" Header set X-Frame-Options "sameorigin" Header set X-Content-Type-Options "nosniff" Header set Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval' https: date: ";

Εναλλακτικά, μπορείτε να χρησιμοποιήσετε διάφορα plugins που κυκλοφορούν αναζητώντας “Security Headers” στα αποθετήρια του WordPress.

Μπορείτε να δοκιμάσετε τα HTTP security headers που προσθέσατε από τη σελίδα https://securityheaders.io.


Read them Technology News from all over the world, with the validity of iGuRu.gr

Follow us on Google News iGuRu.gr at Google news