Securizare blog WordPress: target blank noopener si HSTS pe SSL

Scrisul pe blog pentru mine este uneori plicticos. Pentru a elimina plictiseala, trebuie sa mai modific niste lucruri pe aici. Mai invat chestii noi, care-mi plac si le aplic. Uneori, este singura treaba care ma face sa ii dau inainte.

Din cauza faptului ca nu am scris prea mult pe blog in ultimii ani, anumite lucruri au ramas in urma, neactualizate. De exemplu, aveam PHP versiunea 5.4 pe blog, vulnerabila, iar acum versiunea stabila, recomandata, este 5.6. Am trecut la 7.1, deoarece este mult mai rapida.

Pe langa acestea, am mutat retelele sociale si site-urile recomandate in bara de jos si am pus search-ul in meniu. Am dezactivat pluginuri, cum ar fi cel de spam, Akismet si cache-ul, W3 Total Cache, deoarece dupa ce am pus Cloudflare pe blog, nu a mai fost nevoie de ele. Acum, mai am doar sapte pluginuri active. Cu cat mai putine, cu atat mai reduse sansele de a-ti face blogul WordPress vulnerabil si de a adauga in mod inutil linkuri externe pe acesta.

Daca este sa vorbim despre modificari noi de securitate pentru blogul nostru WordPress, va voi scrie astazi despre doua astfel de chestii, prima dintre ele avand legatura chiar cu linkurile externe:

1. Intotdeauna, linkurile externe de pe blog, care sunt puse cu target=”_blank”, sa fie cu rel=”noopener” sau rel=”noopener noreferrer”

Daca aveti linkuri externe pe site, care se deschid in browser intr-un tab nou (target=”_blank”) atunci trebuie sa stiti ca sunt vulnerabile, daca nu le sanitizati.

Ce se poate intampla: faceti trimitere catre un site, acel site este spart sau proprietarul lui are chef de glume si va treziti pe blog cu pagini de phishing, fara sa stiti de unde au venit.

WordPress a remediat de mult timp aceasta vulnerabilitate, in sensul ca acum toate linkurile exerne pe care le setezi sa se deschida intr-o pagina noua, au si rel=”noopener” insa pe blog au ramas mai mult ca singur, cel putin in cazul meu asa s-a intamplat si trimiteri vechi, fara noopener. De exemplu, linkurile din blogroll sau chiar si articole.

Deoarece nu am foarte multe articole cu target=blank, nu am fost nevoit sa apelez la cine stie ce minune de site sau plugin pentru a le identifica, ci am scris direct in sectiunea de articole „blank” si le-am identificat pe toate: doua pagini.

Teoretic, acum este de ajuns sa puneti doar rel=”noopener”. Cu putin timp in urma adaugai si rel=”noopener noreferrer” deoarece Chrome Browser stia despre aceasta vulnerabilitate, insa nu si navigatorul Firefox. Acum stie si „Vulpea de Foc” asa ca nu mai este nevoie sa adaugati a doua varianta, cu atat mai mult cu cat varianta a doua va anuleaza linkurile de afiliat, asa ca aveti grija.

2. Daca aveti SSL pe blog, intotdeauna utilizati HSTS (HTTP Strict Transport Policy)

Daca aveti certificat de securitate instalat pe blog, asta nu inseamna ca toate conexiunile se fac automat prin acesta, asa ca trebuie ca serverul vostru web sa-i spuna browserului sa realizeze conexiunile strict prin HTTPS, niciodata prin HTTP, evitand probleme de securitate cum ar fi cookie hijacking si altele.

Acest lucru poate fi realizat foarte usor, cu cateva click-uri: atat pluginul de cache W3 Total Cache are optiunea de HSTS, cat si Cloudflare, daca folositi acest CDN.

Daca utilizati Cloudflare si aveti SSL pe blog, alegeti atat HSTS cat si optiunile SSL Full (strict) si Always use HTTPS, din sectiunea Crypto a interfetei de administrare Cloudflare.

Acestea sunt propunerile mele de securizare blog WordPress sau site in general, pe ziua de astazi.

Sper sa va fie de folos.

Da-i share pe:
TwitterFacebookGoogle+

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *