Alguns headers HTTP colaboram com a segurança de aplicações, adicionando mais uma camada de proteção a ataques e vulnerabilidades em seu navegador. Neste material você saberá quais as funcionalidades de cada um dos headers http indicados abaixo e como os adicionar em sua aplicação WordPress:
Essa configuração evita que navegadores interpretem o conteúdo de uma página, decodificando o conteúdo trocado entre computadores de uma rede (sniffing) e executando um código/tag.
Sendo assim, esse header não permite que arquivos não executáveis por outros usuários sejam lidos e executados por um código javascript ou css.
Para isso você deverá adicionar as seguintes linhas no arquivo .htaccess - Se necessario veja como editar esse arquivo .htaccess.
<IfModule mod_headers.c>
Header set X-Content-Type-Options nosniff
</IfModule>
Esse header fornece uma proteção contra o clickjacking, conhecido como 'furto de clique'- essa vulnerabilidade consegue roubar informações e dados relevantes do usuário.
O X-Frame-Options não permite a renderização de uma página em um frame, garantindo que o conteúdo de sua página não seja incorporado a outros sites. Exemplos de conteúdos externos: ícones de redes sociais, Google Maps, publicidade de terceiros e etc
Há três tipos de diretivas diferentes desse header, sendo elas:
- x-frame-options: DENY
- Essa diretiva DENY desativa completamente o carregamento da página em um frame, independentemente do site que esta tentando acessar, entretanto essa opção pode quebrar algumas funcionalidades.
- x-frame-options: SAMEORIGIN
- A diretiva SAMEORIGIN permite que a página seja carregada em um frame de mesma origem que a própria página. Com esta diretiva, você ainda pode usar a página em um frame, desde que o fram do site seja o mesmo que aquele que serve a página. É um bom equilíbrio entre funcionalidade e segurança.
- x-frame-options: ALLOW-FROM https://dominio.com
- A diretiva ALLOW-FROM permite que a página seja carregada em frame de origem/domínio especificado. Isso permite que você bloqueie seu site apenas para origens confiáveis.
Esse header + a diretiva escolhida devem ser adicionados no arquivo functions.php do tema do seu WordPress.
add_action( 'send_headers', 'add_header_xframeoptions' );
function add_header_xframeoptions() {
header( 'X-Frame-Options: SAMEORIGIN' );
}
Para saber como realizar esse procedimento confira os passos a passos abaixo:
1Em seu cPanel, vá em Arquivos e depois clique em Gerenciador de Arquivos:
2Na pasta public_html do seu domínio, vá no seu domínio, e depois na lateral direita clique sobre o arquivo wp-content:
3Clique sobre a pasta themes:
4 Clique sobre o nome do tema do seu WordPress, no exemplo abaixo o tema é "write":
5Em seguida com o botão direito clique sobre o arquivo functions.php e selecione Edit:
6No box confirme clicando em Edit:
7Adicione as linhas do header X-Frame-Options e depois clique em salvar alterações:
add_action( 'send_headers', 'add_header_xframeoptions' );
function add_header_xframeoptions() {
header( 'X-Frame-Options: DIRETIVA' );
}
Altere o campo em negrito "diretiva" por umas das opções: DENY, SAMEORIGIN ou ALLOW-FROM + domínio