WordPress este unul dintre cele mai populare sisteme de gestionare a continutului (CMS) din lume. Cu toate acestea, este si o tinta preferata in randul hackerilor, cu 4,3 miliarde de incercari de exploatare a vulnerabilitatilor inregistrate intr-un singur an. In calitate de proprietar al unui site creat in WordPress este posibil ca aceasta cifra sa fie foarte ingrijoratoare.
Din fericire, exista modalitati de a face site-ul dvs. mai putin susceptibil la atacuri. Devenind expert in anteturile de securitate HTTP, puteti restrictiona actiunile pe care serverele si browserele le pot efectua – chiar daca site-ul dvs. contine o vulnerabilitate cunoscuta.
Ori de cate ori cineva va viziteaza site-ul, serverul dvs. va trimite un antet de raspuns HTTP catre browserul sau. Aceste anteturi ii spun browserului cum sa actioneze pe parcursul interactiunilor sale cu site-ul dvs. web, inclusiv cum sa afiseze erori si sa gestioneze memoria cache.
In aceasta postare, ne vom concentra asupra antetelor de securitate HTTP. Acestea specifica detaliile legate de securitate ale comunicarii HTTP si va pot intari site-ul impotriva unei game de amenintari, cum ar fi Cross-Site Scripting (XSS), clickjacking si atacuri de forta bruta.
Atunci cand sunt utilizate corect, aceste anteturi pot restrictiona comportamentele pe care browserul si serverul le pot indeplini. Acest lucru poate fi deosebit de util pentru prevenirea hackerilor de a exploata vulnerabilitatile cunoscute in temele si pluginurile dvs. WordPress. Avand in vedere ca temele si pluginurile vulnerabile au un numar total de instalari active de 70 de milioane, utilizarea antetelor de securitate HTTP pe site-ul dvs. este o alegere inteligenta.
Ca si exemplu am testat in website facut de mine prin site-ul securityheaders.com si evident nu era securizat pe acesta filiera.
Codurile pe care le folosesc pentru a securiza sunt urmatoarele si se pun in .htaccess
<ifModule mod_headers.c> Header set Strict-Transport-Security "max-age=31536000" env=HTTPS Header set X-XSS-Protection "1; mode=block" Header set X-Content-Type-Options nosniff Header set X-Frame-Options DENY Header set Referrer-Policy: no-referrer-when-downgrade #Header set Content-Security-Policy "default-src 'self' data:; object-src 'none'; child-src 'self'; frame-ancestors 'none'; upgrade-insecure-requests; block-all-mixed-content" </ifModule> <IfModule mod_headers.c> Header always set Permissions-Policy "geolocation=(), midi=(),sync-xhr=(),accelerometer=(), gyroscope=(), magnetometer=(), camera=(), fullscreen=(self)" </IfModule>
Dupa am facut din nou test si totul e ok acum.
Ce am greșit? Codul se pune la sfârșit în .httacces, nu?
Cred ca la început se pune acest cod.
Am testat cu aceste coduri postate mai sus… dupa ce le adaug in .htaccess tot F afiseaza.