WordPress 配置 X-Frame-Options 和 HTTPOnly Cookie 保护

WordPress 网站开启 X-Frame-OptionsHTTPOnly Cookie 后,可以保护 WordPress 网站免受 XSS、点击劫持和其他一些攻击。

如果您用云服务器或 VPS ,那么可以直接在 Apache 或 Nginx 中直接配置。如果您使用的是 WordPress,那么可以直接在 WordPress 中进行配置。

WordPress 中配置 X-Frame-Options

在 WordPress 网站配置 X-Frame-Options,可以防止点击劫持类的攻击。

缺少-x-frame-wordpress

配置方法:

第 1 步:转到安装 WordPress 的根目录。如果您使用的是共享主机,可以通过宝塔面板或 cPanel >> 文件管理器访问。

第 2 步:备份 wp-config.php 文件。

第 3 步:编辑 wp-config.php 文件并添加以下代码行:

header('X-Frame-Options: SAMEORIGIN');

第 4 步:配置完成后,可以使用 Secure Headers Test 工具来验证配置是否成功。如果安装了缓存插件,可能需要先清除缓存,然后再进行验证。

WordPress 配置带有 HTTPOnly 和 Secure 标志的 Cookie

配置有 HTTPOnly 的 Cookie ,可指示浏览器仅信任服务器的 cookie,这增加了针对 XSS 攻击的保护。

httponly-cookie-wordpress

带有 Secure 标志的 cookie ,可指示浏览器通过 SSL 通道访问 cookie,这回增强 cookie 会话的安全性。

cookie 安全标志

注意:这适用于 HTTPS 网站。如果您仍在使用 HTTP,那么可以考虑切换到 HTTPS 以获得更好的安全性。

配置步骤:

第 1 步:转到安装 WordPress 的根目录。如果您使用的是共享主机,可以通过宝塔面板或 cPanel >> 文件管理器访问。

第 2 步:备份 wp-config.php 文件。

第 3 步:编辑 wp-config.php 文件并添加以下代码行:

@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);

也可以安装 Shield 插件,它可以帮助预防 iFrame 和 XSS 攻击。

安装插件后,转到 HTTP 标头并启用它们。

屏蔽http标头

作者:牛奇网,本站文章均为辛苦原创,在此严正声明,本站内容严禁采集转载,面斥不雅请好自为之,本文网址:https://www.niuqi360.com/wordpress/secure-wordpress-with-x-frame-options-and-httponly-cookie/

(0)
牛奇网牛奇网
上一篇 2022年7月7日 上午8:57
下一篇 2022年7月9日 下午2:44

相关推荐

发表回复

登录后才能评论