WordPress 网站开启 X-Frame-Options 和 HTTPOnly Cookie 后,可以保护 WordPress 网站免受 XSS、点击劫持和其他一些攻击。
如果您用云服务器或 VPS ,那么可以直接在 Apache 或 Nginx 中直接配置。如果您使用的是 WordPress,那么可以直接在 WordPress 中进行配置。
WordPress 中配置 X-Frame-Options
在 WordPress 网站配置 X-Frame-Options,可以防止点击劫持类的攻击。
配置方法:
第 1 步:转到安装 WordPress 的根目录。如果您使用的是共享主机,可以通过宝塔面板或 cPanel >> 文件管理器访问。
第 2 步:备份 wp-config.php 文件。
第 3 步:编辑 wp-config.php 文件并添加以下代码行:
header('X-Frame-Options: SAMEORIGIN');
第 4 步:配置完成后,可以使用 Secure Headers Test 工具来验证配置是否成功。如果安装了缓存插件,可能需要先清除缓存,然后再进行验证。
WordPress 配置带有 HTTPOnly 和 Secure 标志的 Cookie
配置有 HTTPOnly 的 Cookie ,可指示浏览器仅信任服务器的 cookie,这增加了针对 XSS 攻击的保护。
带有 Secure 标志的 cookie ,可指示浏览器通过 SSL 通道访问 cookie,这回增强 cookie 会话的安全性。
注意:这适用于 HTTPS 网站。如果您仍在使用 HTTP,那么可以考虑切换到 HTTPS 以获得更好的安全性。
配置步骤:
第 1 步:转到安装 WordPress 的根目录。如果您使用的是共享主机,可以通过宝塔面板或 cPanel >> 文件管理器访问。
第 2 步:备份 wp-config.php 文件。
第 3 步:编辑 wp-config.php 文件并添加以下代码行:
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);
也可以安装 Shield 插件,它可以帮助预防 iFrame 和 XSS 攻击。
安装插件后,转到 HTTP 标头并启用它们。
作者:牛奇网,本站文章均为辛苦原创,在此严正声明,本站内容严禁采集转载,面斥不雅请好自为之,本文网址:https://www.niuqi360.com/wordpress/secure-wordpress-with-x-frame-options-and-httponly-cookie/