WORDPRESS

¿Cómo implementar los ancestros del marco CSP en Apache, Nginx y WordPress?

Proteja su sitio web de ataques de secuestro de clics implementando encabezados CSP (Política de seguridad de contenido)

CSP es uno de los 10 principales encabezados de seguridad de OWASP y, a menudo, los expertos en seguridad o las herramientas lo recomiendan para implementarlo. Hay muchas opciones para crear políticas para hacer cumplir la forma en que desea que se expongan sus recursos web.

Una de las instrucciones se llama frame-ancestors Introducido en la versión 2 de CSP, proporciona más flexibilidad que el encabezado X-Frame-Options. frame-ancestors Funciona de la misma manera que X-Frame-Options para permitir o no permitir el uso de elementos iframe, frame, object, incrustar y applet para incrustar recursos.

Creo que X-Frame-Options quedará obsoleto en un futuro cercano cuando CSP sea totalmente compatible con todos los principales navegadores. Mientras escribo, Ancestros del marco CSP Funciona con todas las versiones recientes del navegador excepto IE.

No sé cuándo Microsoft permitirá soporte para IE.Siempre puedes comprobar la compatibilidad del navegador puedo usar el sitio web.

Echemos un vistazo al proceso de implementación.

apache HTTP

mod_headers es un requisito previo para inyectar encabezados en Apache.Depende del sistema operativo y la versión, pero si está usando Ubuntu y Apache 2.4, puede usar a2enmod headers permitirle.

[email protected]:/etc/apache2# a2enmod headers
Enabling module headers.
To activate the new configuration, you need to run:
  systemctl restart apache2
[email protected]:/etc/apache2# systemctl restart apache2
[email protected]:/etc/apache2#

notas: toda la configuración que puedes hacer allí httpd.conf o cualquier archivo de configuración válido que esté utilizando.

Artículo Recomendado:  Mejore el desarrollo local de WordPress con estas 6 herramientas

negar a todos

Similar a X-Frame-Options DENY. Si no desea insertar en ningún sitio web (incluido usted mismo), agregue lo siguiente.

Header set Content-Security-Policy "frame-ancestors 'none';"

Guarde el archivo y reinicie Apache HTTP para que surta efecto.

1644082855 472 ¿Como implementar los ancestros del marco CSP en Apache

Intenté incrustar el sitio y, como puede ver, está bloqueado.

Permítete pero niega a los demás

Similar a X-Frame-Options SAMEORIGIN, puede agregar lo siguiente.

Header set Content-Security-Policy "frame-ancestors 'self';"

Permitir desde uno mismo y múltiples dominios

X-Frame-Options no permite opciones de múltiples dominios. Gracias a CSP, puede hacer lo siguiente.

Header set Content-Security-Policy "frame-ancestors 'self' 'geekflare.com' 'gf.dev' 'geekflare.dev';"

Lo anterior permitirá incrustar contenido propio, geekflare.com, gf.dev, geekflare.dev. Cambie estos dominios con su nombre de dominio.

Nginx

Aparte de la forma en que se agregan los encabezados, los conceptos y directivas son los mismos que se explicaron anteriormente en la sección HTTP de Apache. El encabezado en Nginx debe agregarse a server Los bloques están en los archivos de configuración correspondientes.

rechazar todo

add_header Content-Security-Policy "frame-ancestors 'none';";

rechazar todo pero no a uno mismo

add_header Content-Security-Policy "frame-ancestors 'self';";

Permitir desde múltiples dominios

add_header Content-Security-Policy "frame-ancestors 'yoursite.com' 'example.com';";

El ejemplo anterior permitiría incrustar contenido en yoursite.com y example.com. No olvide reiniciar el servidor Nginx después de la modificación para probar la estrategia.

WordPress

Depende de cómo alojes WordPress.

Si es autohospedado como una nube o VPS, entonces probablemente esté usando un servidor web como Apache o Nginx. Si es así, puede hacerlo en un servidor web en lugar de WordPress como se describe anteriormente. Sin embargo, si usa alojamiento compartido o no puede modificar el servidor web, puede aprovechar los complementos.

Para implementar CSP en WordPress puedes usar Complemento Pro de política de seguridad de contenido.

confirmar

Una vez implementado, puede usar las herramientas de desarrollador integradas del navegador o Herramienta de prueba de encabezado de seguridad.

en conclusión

CSP es uno de los encabezados poderosos y seguros para prevenir vulnerabilidades web. Espero que las instrucciones anteriores lo guíen sobre cómo implementar ancestros de marcos en Apache y Nginx.

Artículo Recomendado:  ¿Cómo auditar las vulnerabilidades de seguridad de NoSQL?

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada.