Nagłówek X-XSS-Protection zabezpiecza przed atakami XSS (cross site scripting), a X-Frame-Options – przed atakami clickjacking.
Zakładając, że stronę masz na Apache’u (a nie na nginxie) zastosuj u siebie poniższe ustawienia aby zwiększyć bezpieczeństwo:
- X-XSS-Protection: https://kb.sucuri.net/warnings/hardening/headers-x-xss-protection
- Nagłówek X-Frame-Options: https://kb.sucuri.net/warnings/hardening/headers-x-frame-clickjacking
czyli w skrócie zmieniasz chwilowo chmody pliku .htaccess (jeśli są ustawione poprawnie na 444), otwierasz go i na początku wklejasz ten kodzik:
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
</IfModule>
<IfModule mod_headers.c>
Header always append X-Frame-Options SAMEORIGIN
</IfModule>
<IfModule mod_headers.c>
Header set X-Content-Type-Options nosniff
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
</IfModule>
zamykasz, zapisujesz, zmieniasz z powrotem chmody na 444. Ustawienia te przydają się na wszystkich stronach, nie tylko na WP.
Klasycznie, wszystko to można uzyskać wtyczką do WP, np. Security Headers 😉
Więcej o nagłówkach znajdziesz na stronach:
