↩ テクノロジーセキュリティ非公開: X-Frame-Options と HTTPOnly Cookie を使用して WordPress を保護する

X-Frame-Options と HTTPOnly Cookie を使用して WordPress を保護する

XSS、クリックジャッキング、その他の攻撃から WordPress ウェブサイトを保護します

サイトのセキュリティを確保することは、オンラインビジネスのプレゼンスにとって不可欠です。週末に、Acunetix と Netsparker を使用して WordPress Web サイトのセキュリティスキャンを実行したところ、次の脆弱性が見つかりました。

X-Frame-Options ヘッダーがありません
Cookie が HttpOnly としてマークされていない
Secure フラグが設定されていない Cookie

専用のクラウドまたは VPS ホスティングを使用している場合は、これらのヘッダーを Apache または Nginx に直接挿入して軽減できます。ただし、これを WordPress で直接行うには、次のようにすることができます。

注 : 実装後に、セキュアヘッダーテストツールを使用して結果を検証できます。

X-Frame-Options と HTTPOnly Cookie を使用して WordPress を保護する

コンテンツ 表示

WordPress の X-Frame-Options ヘッダー

これをヘッダーに挿入すると、クリックジャッキング攻撃が防止されます。以下は Netsparker によって発見されました。

解決：

WordPress がインストールされているパスに移動します。共有ホスティングを使用している場合は、cPanel >> ファイルマネージャーにログインできます。
wp-config.php のバックアップを取得します。
ファイルを編集して次の行を追加します

header('X-Frame-Options: SAMEORIGIN');

Web サイトを保存して更新して確認します。

HTTPOnly で Cookie を使用すると、ブラウザーはサーバーによる Cookie のみを信頼するように指示され、XSS 攻撃に対する保護層が追加されます。

Cookie 内のセキュアフラグは、Cookie が安全な SSL チャネル経由でアクセスできることをブラウザに指示し、セッション Cookie の保護層を追加します。

注 : これは HTTPS Web サイトで機能します。まだ HTTP を使用している場合は、セキュリティを強化するために HTTPS に切り替えることを検討してください。

解決：

wp-config.php のバックアップを取得します。
ファイルを編集して次の行を追加します

@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);

ファイルを保存し、Web サイトを更新して確認します。

コードをハッキングしたくない場合は、iFrame をブロックして XSS 攻撃から保護するのに役立つ Shield プラグインを使用することもできます。

プラグインをインストールしたら、HTTP ヘッダーに移動して有効にします。

上記が WordPress の脆弱性の軽減に役立つことを願っています。

行く前に待ってください…

より安全なヘッダーの実装をお探しですか?

OWASP が推奨するセキュアヘッダーが 10 個あります。VPS またはクラウドを使用している場合は、Apache と Nginx のこの実装ガイドを確認してください。ただし、共有ホスティングを使用している場合、または WordPress 内で実行したい場合は、このプラグインを試してください。

結論

サイトの保護は困難であり、継続的な取り組みが必要です。セキュリティの問題を専門家に任せたい場合は、Web サイトの保護とパフォーマンスを完全に管理してくれる SUCURI WAF を試してみてはいかがでしょうか。

「 X-Frame-Options と HTTPOnly Cookie を使用して WordPress を保護する」についてわかりやすく解説！絶対に観るべきベスト2動画

エックスサーバーを使ってサブドメインでWordPressをインストールする方法

https://www.youtube-nocookie.com/watch?v=QAOKDyGp78M&pp=ygVUIFgtRnJhbWUtT3B0aW9ucyDjgaggSFRUUE9ubHkgQ29va2llIOOCkuS9v-eUqOOBl-OBpiBXb3JkcHJlc3Mg44KS5L-d6K2344GZ44KLJmhsPUpB

エックスサーバーを使ってサブドメインでWordPressをインストールする方法 (https://www.youtube-nocookie.com/watch?v=QAOKDyGp78M&pp=ygVUIFgtRnJhbWUtT3B0aW9ucyDjgaggSFRUUE9ubHkgQ29va2llIOOCkuS9v-eUqOOBl-OBpiBXb3JkcHJlc3Mg44KS5L-d6K2344GZ44KLJmhsPUpB)

Cookieとセッションってなに？ゼロからわかりやすく解説

https://www.youtube-nocookie.com/watch?v=t8Xxp_dk214&pp=ygVUIFgtRnJhbWUtT3B0aW9ucyDjgaggSFRUUE9ubHkgQ29va2llIOOCkuS9v-eUqOOBl-OBpiBXb3JkcHJlc3Mg44KS5L-d6K2344GZ44KLJmhsPUpB

Cookieとセッションってなに？ゼロからわかりやすく解説 (https://www.youtube-nocookie.com/watch?v=t8Xxp_dk214&pp=ygVUIFgtRnJhbWUtT3B0aW9ucyDjgaggSFRUUE9ubHkgQ29va2llIOOCkuS9v-eUqOOBl-OBpiBXb3JkcHJlc3Mg44KS5L-d6K2344GZ44KLJmhsPUpB)

セキュリティ

XSS、クリックジャッキング、その他の攻撃から WordPress ウェブサイトを保護します

サイトのセキュリティを確保することは、オンラインビジネスのプレゼンスにとって不可欠です。週末に、Acunetix と Netsparker を使用して WordPress Web サイトのセキュリティスキャンを実行したところ、次の脆弱性が見つかりました。

X-Frame-Options ヘッダーがありません
Cookie が HttpOnly としてマークされていない
Secure フラグが設定されていない Cookie

専用のクラウドまたは VPS ホスティングを使用している場合は、これらのヘッダーを Apache または Nginx に直接挿入して軽減できます。ただし、これを WordPress で直接行うには、次のようにすることができます。

注 : 実装後に、セキュアヘッダーテストツールを使用して結果を検証できます。

コンテンツ 表示

WordPress の X-Frame-Options ヘッダー

これをヘッダーに挿入すると、クリックジャッキング攻撃が防止されます。以下は Netsparker によって発見されました。

解決：

WordPress がインストールされているパスに移動します。共有ホスティングを使用している場合は、cPanel >> ファイルマネージャーにログインできます。
wp-config.php のバックアップを取得します。
ファイルを編集して次の行を追加します

header('X-Frame-Options: SAMEORIGIN');

Web サイトを保存して更新して確認します。

HTTPOnly で Cookie を使用すると、ブラウザーはサーバーによる Cookie のみを信頼するように指示され、XSS 攻撃に対する保護層が追加されます。

Cookie 内のセキュアフラグは、Cookie が安全な SSL チャネル経由でアクセスできることをブラウザに指示し、セッション Cookie の保護層を追加します。

注 : これは HTTPS Web サイトで機能します。まだ HTTP を使用している場合は、セキュリティを強化するために HTTPS に切り替えることを検討してください。

解決：

wp-config.php のバックアップを取得します。
ファイルを編集して次の行を追加します

@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);

ファイルを保存し、Web サイトを更新して確認します。

コードをハッキングしたくない場合は、iFrame をブロックして XSS 攻撃から保護するのに役立つ Shield プラグインを使用することもできます。

プラグインをインストールしたら、HTTP ヘッダーに移動して有効にします。

上記が WordPress の脆弱性の軽減に役立つことを願っています。

行く前に待ってください…

より安全なヘッダーの実装をお探しですか?

OWASP が推奨するセキュアヘッダーが 10 個あります。VPS またはクラウドを使用している場合は、Apache と Nginx のこの実装ガイドを確認してください。ただし、共有ホスティングを使用している場合、または WordPress 内で実行したい場合は、このプラグインを試してください。

結論

サイトの保護は困難であり、継続的な取り組みが必要です。セキュリティの問題を専門家に任せたい場合は、Web サイトの保護とパフォーマンスを完全に管理してくれる SUCURI WAF を試してみてはいかがでしょうか。

「 X-Frame-Options と HTTPOnly Cookie を使用して WordPress を保護する」についてわかりやすく解説！絶対に観るべきベスト2動画

エックスサーバーを使ってサブドメインでWordPressをインストールする方法

https://www.youtube-nocookie.com/watch?v=QAOKDyGp78M&pp=ygVUIFgtRnJhbWUtT3B0aW9ucyDjgaggSFRUUE9ubHkgQ29va2llIOOCkuS9v-eUqOOBl-OBpiBXb3JkcHJlc3Mg44KS5L-d6K2344GZ44KLJmhsPUpB

エックスサーバーを使ってサブドメインでWordPressをインストールする方法 (https://www.youtube-nocookie.com/watch?v=QAOKDyGp78M&pp=ygVUIFgtRnJhbWUtT3B0aW9ucyDjgaggSFRUUE9ubHkgQ29va2llIOOCkuS9v-eUqOOBl-OBpiBXb3JkcHJlc3Mg44KS5L-d6K2344GZ44KLJmhsPUpB)

Cookieとセッションってなに？ゼロからわかりやすく解説

https://www.youtube-nocookie.com/watch?v=t8Xxp_dk214&pp=ygVUIFgtRnJhbWUtT3B0aW9ucyDjgaggSFRUUE9ubHkgQ29va2llIOOCkuS9v-eUqOOBl-OBpiBXb3JkcHJlc3Mg44KS5L-d6K2344GZ44KLJmhsPUpB

Cookieとセッションってなに？ゼロからわかりやすく解説 (https://www.youtube-nocookie.com/watch?v=t8Xxp_dk214&pp=ygVUIFgtRnJhbWUtT3B0aW9ucyDjgaggSFRUUE9ubHkgQ29va2llIOOCkuS9v-eUqOOBl-OBpiBXb3JkcHJlc3Mg44KS5L-d6K2344GZ44KLJmhsPUpB)

セキュリティ