Cum sa adaugi HTTP Security Headers in WordPress

WordPress este unul dintre cele mai populare sisteme de gestionare a continutului (CMS) din lume. Cu toate acestea, este si o tinta preferata in randul hackerilor, cu 4,3 miliarde de incercari de exploatare a vulnerabilitatilor inregistrate intr-un singur an. In calitate de proprietar al unui site creat in WordPress este posibil ca aceasta cifra sa fie foarte ingrijoratoare.

Din fericire, exista modalitati de a face site-ul dvs. mai putin susceptibil la atacuri. Devenind expert in anteturile de securitate HTTP, puteti restrictiona actiunile pe care serverele si browserele le pot efectua – chiar daca site-ul dvs. contine o vulnerabilitate cunoscuta.

Ori de cate ori cineva va viziteaza site-ul, serverul dvs. va trimite un antet de raspuns HTTP catre browserul sau. Aceste anteturi ii spun browserului cum sa actioneze pe parcursul interactiunilor sale cu site-ul dvs. web, inclusiv cum sa afiseze erori si sa gestioneze memoria cache.

In aceasta postare, ne vom concentra asupra antetelor de securitate HTTP. Acestea specifica detaliile legate de securitate ale comunicarii HTTP si va pot intari site-ul impotriva unei game de amenintari, cum ar fi Cross-Site Scripting (XSS), clickjacking si atacuri de forta bruta.

Atunci cand sunt utilizate corect, aceste anteturi pot restrictiona comportamentele pe care browserul si serverul le pot indeplini. Acest lucru poate fi deosebit de util pentru prevenirea hackerilor de a exploata vulnerabilitatile cunoscute in temele si pluginurile dvs. WordPress. Avand in vedere ca temele si pluginurile vulnerabile au un numar total de instalari active de 70 de milioane, utilizarea antetelor de securitate HTTP pe site-ul dvs. este o alegere inteligenta.

Ca si exemplu am testat in website facut de mine prin site-ul securityheaders.com si evident nu era securizat pe acesta filiera.

red alert 1

Codurile pe care le folosesc pentru a securiza sunt urmatoarele si se pun in .htaccess

<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
#Header set Content-Security-Policy "default-src 'self' data:; object-src 'none'; child-src 'self'; frame-ancestors 'none'; upgrade-insecure-requests; block-all-mixed-content"
</ifModule>

<IfModule mod_headers.c>
Header always set Permissions-Policy "geolocation=(), midi=(),sync-xhr=(),accelerometer=(), gyroscope=(), magnetometer=(), camera=(), fullscreen=(self)"
</IfModule>

Dupa am facut din nou test si totul e ok acum.

green alert 2

 

screenshot securityheaders.com 2021.09.14 14 02 33

 

2 comentarii la “Cum sa adaugi HTTP Security Headers in WordPress

Faci un comentariu sau dai un răspuns?

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Alte articole din aceiasi categorie

Salut și bine ai venit pe acest blog!

Eu sunt Bucur si acesta este blogul meu in care vei gasi articole in majoritatea lor despre Programare web Front-end si un pic de back-end.

Iată cum mă poți contacta:

Ai o intrebare? nu ezita sa ma contactezi.

Vei primi un raspuns in cel mai scurt timp posibil.

    Numele tau (necesar)

    Email (necesar)

    Subiect

    Mesaj

    Prin utilizarea acestui formular sunteți de acord cu stocarea și manipularea datelor dvs. pe acest site web.

    Daca vrei Front-end in general recomand:
    https://www.udemy.com/course/the-complete-web-developer-zero-to-mastery/
    https://www.udemy.com/course/advanced-javascript-concepts/
    https://www.udemy.com/course/complete-react-developer-zero-to-mastery/
    Daca vrei doar Javascript recomand:
    https://www.udemy.com/course/the-complete-javascript-course/
    https://www.udemy.com/course/advanced-javascript-concepts/