Clickjacking คืออะไรและจะป้องกันได้อย่างไร

เผยแพร่แล้ว: 2023-01-17

Clickjacking เป็นการใช้ประโยชน์จากเว็บที่เป็นอันตรายซึ่งมีมาตั้งแต่เว็บไซต์แรก ๆ เข้าสู่อินเทอร์เน็ต Clickjackers ใช้ประโยชน์จากวิธีการฝังหน้าเว็บหนึ่งไว้ในอีกหน้าหนึ่ง เมื่อรวมกับวิศวกรรมทางสังคมที่หลอกลวง การโจมตีด้วยคลิกแจ็กยังคงรักษาอัตราความสำเร็จที่สูงอย่างไม่น่าเชื่อ โดยมุ่งเป้าไปที่เหยื่อที่ไม่สงสัยหลายล้านคนทุกวัน

ในฐานะเฟรมเวิร์กสร้างเว็บไซต์ที่ได้รับความนิยมมากที่สุดในโลก WordPress เป็นเป้าหมายขนาดใหญ่สำหรับการคลิกแจ็ก ตามค่าเริ่มต้น เฉพาะหน้าเข้าสู่ระบบ WordPress และพื้นที่ผู้ดูแลระบบไม่สามารถฝังลงในหน้าเว็บอื่นได้ หากมีส่วนอื่นๆ ของไซต์ที่คุณไม่ต้องการให้ฝังไว้ที่อื่น คุณต้องดำเนินการเพื่อปกป้องส่วนดังกล่าวด้วยตัวคุณเอง

คำแนะนำเกี่ยวกับ clickjacking หรือการแก้ไขการโจมตีส่วนต่อประสานผู้ใช้นี้จะแสดงให้คุณเห็นว่า clickjacking ทำงานอย่างไร เพื่อให้คุณมั่นใจได้ว่าเนื้อหาของเว็บไซต์ WordPress ของคุณจะไม่ถูกใช้โดยผู้โจมตีเพื่อขโมยข้อมูลที่ละเอียดอ่อนหรือหลอกผู้ใช้ให้ทำบางสิ่งที่เป็นอันตรายต่อพวกเขาและ/หรือช่วย คลิกแจ็คเกอร์

Clickjacking คืออะไร?

ตามชื่อที่แนะนำ clickjacking hijacks คลิกและการกระทำอื่นๆ ของเว็บอินเตอร์เฟส ช่วยให้ clickjacker ดำเนินการเพื่อวัตถุประสงค์ของตนเองในนามของเหยื่อที่ไม่สงสัย

ชื่อทางเทคนิคสำหรับการคลิกแจ็กคือ “การแก้ไขส่วนต่อประสาน” Clickjackers "ตกแต่งใหม่" หน้าเว็บที่ถูกต้องโดยฝังไว้ในเว็บไซต์ของตนเอง โดยที่โค้ดของพวกเขาเองสามารถแก้ไขสิ่งที่เกิดขึ้นอย่างลับๆ เมื่อผู้เข้าชมโต้ตอบกับหน้าเว็บนั้น ซึ่งทำได้โดยการฝังเนื้อหาที่ถูกต้อง เช่น หน้าเข้าสู่ระบบหรือหน้าจอการชำระเงินจากเว็บไซต์หรือบริการที่ถูกต้องบนหน้าเว็บที่เป็นอันตรายซึ่งสร้างขึ้นโดยอาชญากร ผู้เข้าชมสามารถคลิกที่ปุ่มที่ดูไม่เป็นอันตราย ป้อนข้อมูลบางอย่างลงในกล่องข้อความ หรือแม้แต่ทำการลากและวางองค์ประกอบ พวกเขาไม่เห็นอินเทอร์เฟซที่ซ่อนอยู่ซึ่งทำการกระทำที่แตกต่างและคาดไม่ถึงซึ่งเป็นประโยชน์ต่อผู้โจมตี

ด้วยการปลอมไซต์ของพวกเขาด้วยเนื้อหาของคุณ clickjackers หวังที่จะหลอกลวงผู้เข้าชมไซต์ของตนให้ดำเนินการอย่างอื่นที่ไม่พึงประสงค์ เช่น ให้ข้อมูลละเอียดอ่อนหรือดาวน์โหลดมัลแวร์

คลิกแจ็ค

Clickjacking ทำงานอย่างไร

การโจมตีด้วย Clickjacking ใช้ประโยชน์จากความสามารถของ HTML ในการโหลดหน้าเว็บจากเว็บไซต์หนึ่งภายในหน้าของเว็บไซต์อื่นโดยใช้องค์ประกอบ <iframe> หรือ <objects>

ส่วนใหญ่แล้ว การโจมตีเพื่อแก้ไขอินเทอร์เฟซผู้ใช้จะอาศัยการที่ผู้ใช้ลงชื่อเข้าใช้เว็บไซต์บางแห่งและเชื่อว่าพวกเขาอยู่ในเว็บไซต์นั้นเมื่อพวกเขาโต้ตอบกับเว็บไซต์ "เปลี่ยนโฉมใหม่" ของคลิกแจ็คเกอร์ ด้วยวิธีนี้ บุคคลที่ล่อลวงไปยังหน้าเว็บที่เป็นอันตรายอาจดำเนินการบางอย่างตามที่ clickjacker ต้องการโดยไม่ทราบว่าพวกเขาไม่ได้โต้ตอบกับธนาคารหรือไซต์ WordPress ที่คุ้นเคย

ห้าประเภทหลักของ Clickjacking

มีกลยุทธ์การคลิกแจ็กไม่กี่ประเภทขึ้นอยู่กับเป้าหมายสุดท้ายของผู้โจมตี พวกเขาสามารถมีได้ตั้งแต่กิจกรรมที่ค่อนข้างไม่เป็นอันตราย (เพิ่มการดูไซต์เนื้อหาหรือเพิ่มไลค์ในโพสต์หรือวิดีโอ) ไปจนถึงการขโมยข้อมูลการเข้าสู่ระบบหรือแม้แต่เงินจากเหยื่อที่ไม่สงสัย

Clickjacking เป็นวิธีการที่หลากหลายอย่างมากในการดำเนินกิจกรรมที่เป็นอันตรายมากมาย แม้ว่าการคลิกแจ็กจะถือเป็นรูปแบบหนึ่งของการโจมตีทางไซเบอร์ แต่ก็อาจเอื้อต่อการโจมตีอื่นๆ เช่น XSS หรือการเขียนสคริปต์ข้ามไซต์ การโจมตี และแม้แต่ใช้เพย์โหลด XSS เพื่ออำนวยความสะดวกในการโจมตี XSRF หรือคำขอปลอมแปลงข้ามไซต์

ต่อไปนี้คือประเภทการโจมตีแบบ Clickjacking ที่พบบ่อยที่สุด 5 ประเภท:

  • Clickjacking แบบคลาสสิก เกี่ยวข้องกับการเลือกเว็บไซต์หรือบริการของเหยื่อและใช้เนื้อหาเพื่อหลอกลวงผู้ใช้ให้ดำเนินการหลายอย่างที่ไม่พึงประสงค์
  • กดไลค์ Clickjacking รูปแบบเก่าที่มุ่งเป้าไปที่การเพิ่มจำนวนการดูและไลค์บนหน้าเว็บหรือวิดีโอบางรายการ ถือได้ว่าค่อนข้างไม่เป็นอันตรายและไม่ค่อยพบเห็นในทุกวันนี้
  • เคอร์เซอร์แจ็กกิ้ง เทคนิคที่ผู้โจมตีใช้เพื่อแทนที่เคอร์เซอร์จริงด้วยเคอร์เซอร์ปลอมเพื่อหลอกให้ผู้ใช้คลิกที่องค์ประกอบที่เป็นอันตรายโดยไม่รู้ตัว
  • คุกกี้เสี่ยงทาย กลยุทธ์ทั่วไปที่ผู้โจมตีใช้คือการรับคุกกี้ที่เบราว์เซอร์ของเหยื่อเก็บไว้ ส่วนใหญ่จะดำเนินการโดยผู้ใช้ที่ได้รับเชิญให้ทำการลากและวางบนหน้าเว็บของผู้โจมตีซึ่งดูเหมือนจะไม่เป็นอันตราย
  • การแจ็กไฟล์ การโจมตีใช้ประโยชน์จากความสามารถของเบราว์เซอร์ในการเปิดไฟล์บนอุปกรณ์ของผู้ใช้ ทำให้ผู้โจมตีสามารถเข้าถึงระบบไฟล์ในเครื่องของตนได้ นอกจากระบบไฟล์ในเครื่องแล้ว ผู้โจมตียังสามารถเข้าถึงไมโครโฟนบนอุปกรณ์ของคุณหรือตำแหน่งของคุณได้

ผู้ที่ตกเป็นเหยื่อของ Clickjacking: จากแพลตฟอร์มโซเชียลมีเดียไปจนถึงระบบชำระเงินออนไลน์

Clickjacking ได้รับความนิยมเป็นพิเศษเมื่อประมาณ 10 ปีที่แล้ว เมื่อแพลตฟอร์มโซเชียลมีเดียหลัก ๆ เช่น Facebook และ Twitter ตกเป็นเหยื่อของ Clickjacking ในรูปแบบต่างๆ ตัวอย่างเช่น การโจมตีด้วยคลิกแจ็คที่ดำเนินการในช่วงปลายยุค 2000 ทำให้ผู้โจมตีสามารถหลอกล่อเหยื่อให้ส่งสแปมไปยังรายชื่อเพื่อนใน Facebook ทั้งหมดได้ในคลิกเดียว

ความนิยมที่เพิ่มขึ้นของการแก้ไขอินเทอร์เฟซผู้ใช้ในทศวรรษที่ผ่านมาทำให้ยักษ์ใหญ่ด้านเทคโนโลยีดำเนินการตามขั้นตอนที่เหมาะสมอย่างรวดเร็วเพื่อปกป้องแพลตฟอร์มของตนจากการโจมตีประเภทนี้ อย่างไรก็ตาม นักวิจัยด้านความปลอดภัยยังคงรายงานถึงช่องโหว่ที่ส่งผลกระทบต่อองค์กรขนาดใหญ่มากขึ้น แม้กระทั่งในปัจจุบัน

หนึ่งในช่องโหว่ที่โดดเด่นที่สุดที่เพิ่งค้นพบส่งผลกระทบต่อ Paypal ในปี 2564 นักวิจัยด้านภัยคุกคามพบช่องโหว่ในบริการโอนเงินของ Paypal ซึ่งอาจทำให้ผู้โจมตีสามารถขโมยเงินจากบัญชีผู้ใช้โดยการใช้ประโยชน์จากการโอนเงินในคลิกเดียว Paypal มอบรางวัลให้กับนักวิจัยและประกาศแผนแก้ไขสถานการณ์

รับรายงานช่องโหว่ WordPress ประจำสัปดาห์ที่ส่งไปยังกล่องจดหมายของคุณทุกวันพุธ
สมัครสมาชิกตอนนี้

กับดักที่สมบูรณ์แบบ: การตั้งค่าการโจมตีแบบ Clickjacking

การโจมตีแบบ clickjacking เกี่ยวข้องกับสามขั้นตอนหลัก: การเลือกเป้าหมายหรือเว็บไซต์ของเหยื่อ การสร้างหน้าเว็บที่เป็นอันตราย และการล่อลวงเว็บไซต์หรือบริการที่เป็นเป้าหมายไปยังลูกค้า

ขั้นตอนที่ 1 เลือกเว็บไซต์เป้าหมาย

เนื่องจากองค์กรขนาดใหญ่ส่วนใหญ่บังคับใช้มาตรการรักษาความปลอดภัยที่เข้มงวดเพื่อป้องกันไม่ให้ผู้โจมตีทำการโจมตีด้วยคลิกแจ็คกับลูกค้าของตน แฮ็กเกอร์จึงมักกำหนดเป้าหมายไปที่ธุรกิจขนาดเล็ก เว็บไซต์ WordPress นั้นดึงดูดอาชญากรเป็นพิเศษ เนื่องจากซอฟต์แวร์ไม่ได้บังคับใช้มาตรการรักษาความปลอดภัยเริ่มต้นใด ๆ ที่ป้องกันไม่ให้เนื้อหา WordPress ถูกฝังอยู่ในเว็บไซต์ของผู้โจมตี

หน้าเข้าสู่ระบบ WordPress และแดชบอร์ดผู้ดูแลระบบทำหน้าที่เป็นข้อยกเว้น แต่ความรับผิดชอบในการปกป้องส่วนที่เหลือของไซต์จะตกเป็นของเจ้าของเว็บไซต์ ครั้งต่อไปที่คุณสงสัยว่าเหตุใดแฮ็กเกอร์จึงโจมตีเว็บไซต์ของคุณ คำตอบนั้นง่ายมาก — แฮ็กเกอร์กำหนดเป้าหมายคุณได้ง่ายและสะดวก โดยเฉพาะอย่างยิ่งหากคุณไม่ได้อัปเดตซอฟต์แวร์ WordPress ของคุณ ต้องขอบคุณช่องโหว่มากมายที่เกิดขึ้นในปลั๊กอินและธีมของ WordPress เสมอ การตัดสินใจที่ดีเกี่ยวกับสิ่งที่จะติดตั้งจึงเป็นสิ่งสำคัญ แล้วอัปเดตซอฟต์แวร์ทั้งหมดอยู่เสมอ มิฉะนั้น คุณกำลังทำให้ตัวเองตกเป็นเป้าหมายได้ง่าย

ขึ้นอยู่กับประเภทของเว็บไซต์ WordPress ที่คุณใช้งานและเนื้อหาที่คุณเผยแพร่ ผู้โจมตีสามารถกำหนดเป้าหมายส่วนต่างๆ ของเว็บไซต์ได้ WordPress clickjacking มักจะกำหนดเป้าหมายเว็บฟอร์ม หน้าเข้าสู่ระบบภายนอกผู้ดูแลระบบ WordPress และหน้าชำระเงินของ WooCommerce ที่เปิดใช้งานการชำระเงินด้วยคลิกเดียว

รับเนื้อหาโบนัส: รายการตรวจสอบการล้างเว็บไซต์ที่ถูกแฮ็ก
คลิกที่นี่

ขั้นตอนที่ 2 สร้างหน้าเว็บที่เป็นอันตราย

เมื่อเลือกเว็บไซต์เป้าหมายแล้วและพบว่ามีช่องโหว่ในการคลิกแจ็ก ผู้โจมตีจะสร้างหน้าเว็บที่เป็นอันตรายเพื่อหลอกให้ผู้ใช้ดำเนินการบางอย่าง WordPress clickjacking มีแนวโน้มที่จะกำหนดเป้าหมายการทำงานของอีคอมเมิร์ซ แต่การขโมยข้อมูลประจำตัวและการส่งสแปมยังคงเป็นเป้าหมายทั่วไปที่ผู้โจมตีกำหนด

ตัวอย่างที่ดีของการคลิกแจ็กคือหน้าเว็บที่อ้างว่าคุณได้รับรางวัลและเชิญชวนให้คุณอ้างสิทธิ์ เมื่อคลิกที่ปุ่ม “รับรางวัลของฉัน” แสดงว่าคุณกำลังให้ข้อมูลส่วนตัวหรือยืนยันการซื้อหรือการโอนเงิน

ขั้นตอนที่ 3 หลอกล่อผู้ใช้ของเว็บไซต์เป้าหมายให้เข้าสู่กับดัก

เพื่อให้การโจมตีแบบ clickjacking ประสบความสำเร็จ ผู้โจมตีต้องให้ผู้ใช้เปิดหน้าเว็บที่เป็นอันตรายของตนและเชื่อว่าเป็นส่วนหนึ่งของไซต์ที่ถูกต้องและคุ้นเคย ซึ่งสามารถทำได้หลายวิธี โดยอาจส่งลิงก์ไปยังลิงก์ดังกล่าวในอีเมลหรือเปลี่ยนเส้นทางผู้ใช้จากเว็บไซต์ของบุคคลที่สามที่ติดไวรัสซึ่งผู้โจมตีเคยเจาะเข้าไปก่อนหน้านี้

หากคุณไม่คลิกลิงก์ในอีเมล ข้อความ หรือการแชทที่ผิดปกติ คาดไม่ถึง หรือน่าสงสัย โอกาสที่ความพยายามคลิกแจ็กจะสำเร็จจะต่ำมาก แม้ว่าหน้าเว็บที่เป็นอันตรายของผู้โจมตีจะดูถูกต้องสมบูรณ์และไม่ได้ทำให้คุณสงสัยก็ตาม เบราว์เซอร์สมัยใหม่ยังใช้การป้องกันการคลิกแจ็กที่หลากหลาย และการผสมผสานระหว่างความระมัดระวังและเทคโนโลยีเบราว์เซอร์ปัจจุบันสามารถลดอัตราความสำเร็จของการโจมตีแก้ไข UI ได้อย่างมาก

วิธีที่จะไม่ตกเป็นเหยื่อของ Clickjacking

เพื่อป้องกันตัวเองจากการคลิกแจ็กทุกประเภท ให้หลีกเลี่ยงการเปิดอีเมล โฆษณา และลิงก์ไปยังเว็บไซต์ที่น่าสงสัย ห้ามติดตั้งซอฟต์แวร์จากแหล่งที่ไม่ได้รับการยืนยัน เนื่องจากการคลิกแจ็กนั้นอาศัยแนวทางปฏิบัติด้านวิศวกรรมสังคมที่หลอกลวง การเรียนรู้วิธีสังเกตสิ่งเหล่านี้จึงเป็นการป้องกันที่ดีที่สุดของคุณ นอกเหนือจากนั้น คุณควรอัปเดตเบราว์เซอร์และระบบปฏิบัติการทั้งหมดให้เป็นเวอร์ชันล่าสุดอยู่เสมอ คุณยังสามารถติดตั้งส่วนขยายการรักษาความปลอดภัยของเบราว์เซอร์ที่แข็งแกร่งและใช้ซอฟต์แวร์ป้องกันไวรัสที่ทันสมัย ​​เพื่อให้แน่ใจว่าคุณจะไม่ตกเป็นเหยื่อของการคลิกแจ็กและการโจมตีทางไซเบอร์ที่เป็นอันตรายอื่นๆ

สงสัยคำเชิญให้คลิกลิงก์

Clickjackers มักจะส่งลิงก์ไปยังผู้ที่อาจตกเป็นเหยื่อทางอีเมล SMS และแอพส่งข้อความ หากคุณไม่ได้ดำเนินการใดๆ เพื่อขอหรือเรียกใช้ข้อความดังกล่าว ให้ดูที่ที่มาของข้อความนั้น Clickjackers มักจะส่งข้อความจากโดเมน โดเมนย่อย และชื่อบัญชีที่คล้ายกับเว็บไซต์ที่ถูกกฎหมาย เช่น Paypal ดูว่าคุณสามารถตรวจจับความแตกต่างเล็กๆ น้อยๆ ที่ทำให้ผู้ส่งที่น่าสงสัยเหล่านี้ได้หรือไม่:

  1. [ป้องกันอีเมล]
  2. http://paypaI.com

ในกรณีแรก “paypal” เป็นโดเมนย่อยที่ทุกคนสามารถแนบกับโดเมนหลักระดับบนสุด ซึ่งในกรณีนี้คือ “app1.com” นั่นไม่ใช่ Paypal

ในกรณีที่สอง ตัวพิมพ์เล็ก 'l' ถูกแทนที่ด้วยตัวพิมพ์ใหญ่ 'I' ซึ่งเหมือนกันในแบบอักษรทั่วไปหลายตัว Clickjackers มักจะจดทะเบียนโดเมนที่สะกดผิดเล็กน้อยเช่นนี้เพื่อหลอกลวงให้ผู้คนเชื่อว่ามาจากผู้ส่งที่ถูกต้อง

คุณยังสามารถดูที่ส่วนหัวของอีเมลเพื่อดูต้นทางของข้อความได้อีกด้วย ทำความคุ้นเคยกับโดเมนและที่อยู่อีเมลที่สถาบันการเงินของคุณและบัญชีสำคัญอื่นๆ ใช้ พวกเขาจะมีนโยบายที่สรุปว่าพวกเขาจะติดต่อคุณหรือไม่และพวกเขาจะระบุตัวตนได้อย่างไร อย่าเชื่อถือการสื่อสารใด ๆ ที่อยู่นอกพารามิเตอร์เหล่านี้ ป้องกันไว้ดีกว่าแก้!

ติดตั้งส่วนขยายเบราว์เซอร์ Anti-Clickjacking

นอกเหนือจากคุณสมบัติความปลอดภัยในตัวของเบราว์เซอร์ของคุณแล้ว ส่วนขยายเบราว์เซอร์ต่อต้านการคลิกแจ็กยังสามารถให้การป้องกันในระดับที่สูงขึ้นจากการคลิกแจ็กและการโจมตีสคริปต์ข้ามไซต์ NoScript เป็นส่วนขยายข้ามเบราว์เซอร์ที่ได้รับความนิยมสูงสุดซึ่งสนับสนุนโดย Google Chrome, Mozilla Firefox และ Microsoft Edge JS Blocker เป็นทางเลือกที่ยอดเยี่ยมสำหรับผู้ใช้ NoScript สำหรับผู้ใช้ Safari

สามขั้นตอนในการปกป้องเว็บไซต์ WordPress ของคุณจาก Clickjacking

WordPress ปกป้องแดชบอร์ดผู้ดูแลระบบและหน้าเข้าสู่ระบบจากการคลิกแจ็กตามค่าเริ่มต้น แต่ส่วนอื่นๆ ทั้งหมดของเว็บไซต์ของคุณต้องการการป้องกันเพิ่มเติม จำนวนการโจมตีที่สามารถดำเนินการกับเว็บไซต์ส่วนใหญ่ในปัจจุบันทำให้การรักษาความปลอดภัยมีความสำคัญสูงสุดสำหรับเจ้าของเว็บไซต์

โชคดีที่มีหลายวิธีในการป้องกันตัวเองจากการคลิกบน WordPress คุณควรรวมหลายวิธีเข้าด้วยกันเพื่อให้แน่ใจว่าเบราว์เซอร์ทั้งหมดรองรับ ยิ่งไปกว่านั้น มาตรการรักษาความปลอดภัยที่ผสมผสานกันจะช่วยให้เนื้อหาเว็บไซต์ของคุณได้รับการปกป้องจากกิจกรรมที่เป็นอันตรายทุกประเภท การโจมตี UI redressing สามารถอำนวยความสะดวกได้

มีสามขั้นตอนใหญ่ ๆ ที่คุณสามารถทำได้เพื่อรักษาความปลอดภัยให้เว็บไซต์ WordPress ของคุณจากการคลิกแจ็ค:

  • ตั้งค่า ส่วนหัว X-Frame-Options เพื่อป้องกันไม่ให้ใครก็ตามโหลดเนื้อหาเว็บไซต์ของคุณในเฟรมบนทรัพยากรของบุคคลที่สามที่ไม่น่าเชื่อถือ
  • กำหนดค่า คำสั่งเฟรมบรรพบุรุษของนโยบายความปลอดภัยเนื้อหา (CSP) เพื่อระบุว่าเว็บไซต์ใดที่สามารถฝังหน้าเว็บไซต์ของคุณในเฟรมได้ (โดยปกติสามารถตั้งค่าเป็น "ไม่มี" ได้)
  • ใช้ แอตทริบิวต์คุกกี้ SameSite ของส่วนหัว Set-Cookie เพื่อป้องกันทั้งความพยายามในการคลิกแจ็กและการปลอมแปลงคำขอข้ามไซต์ (CSRF)

ใช้ .htaccess เพื่อกำหนดค่า HTTP Response Headers สำหรับ WordPress

ส่วนหัวการตอบสนองคือส่วนหัว HTTP ที่ใช้กำหนดตัวแปรเฉพาะสำหรับการสื่อสารระหว่างไคลเอนต์กับเซิร์ฟเวอร์ระหว่างไซต์ของคุณกับเบราว์เซอร์ของผู้เยี่ยมชม พวกเขามองไม่เห็นผู้เยี่ยมชมของคุณ X-Frame-Options, Content Security Policy และ Set-Cookie คือตัวอย่างทั้งหมดของส่วนหัวการตอบสนอง HTTP

แม้ว่าจะสามารถใช้ปลั๊กอิน WordPress บางตัวเพื่อกำหนดค่าส่วนหัวการตอบสนอง HTTP บนเว็บไซต์ WordPress ได้ แต่วิธีที่ง่ายที่สุดคือการใช้ไฟล์ .htaccess ในเครื่องของคุณ (ถือว่าสภาพแวดล้อมเซิร์ฟเวอร์ของคุณใช้ Apache หรือ Litespeed เพื่อให้บริการคำขอ HTTP) การกำหนดค่าส่วนหัวที่ระบุในไฟล์ .htaccess ในไดเร็กทอรีรากของเว็บไซต์จะถูกนำไปใช้กับทุกหน้าบนเว็บไซต์

โมดูล mod_headers Apache อนุญาตให้คุณกำหนดค่าส่วนหัวการตอบสนองใน .htaccess โดยใช้ ชุดส่วนหัว และคำสั่ง ต่อท้ายส่วนหัว เนื่องจากส่วนหัวบางอย่างสามารถกำหนดค่าได้ในการกำหนดค่าส่วนกลางของเว็บเซิร์ฟเวอร์ บางครั้งจึงแนะนำให้ใช้ ส่วนหัวต่อท้าย เพื่อรวมค่าที่กำหนดค่าไว้ในส่วนหัวการตอบสนองที่มีอยู่แทนที่จะแทนที่การกำหนดค่าที่มีอยู่

เนื่องจากผู้ให้บริการโฮสติ้งของคุณสามารถกำหนดค่าส่วนหัวการตอบสนอง HTTP บางอย่างสำหรับเว็บไซต์ทั้งหมดตามค่าเริ่มต้น จึงควรติดต่อผู้ให้บริการก่อนทำการเปลี่ยนแปลงใดๆ กับ .htaccess เพื่อหลีกเลี่ยงปัญหาใดๆ

ตั้งค่า X-Frame-Options Header

ส่วนหัว X-Frame-Options กำหนดว่าหน้าเว็บสามารถแสดงผลในเฟรมและรายการทรัพยากรที่อนุญาตให้แสดงได้หรือไม่ มีสองคำสั่งสำหรับ X-Frame-Options – DENY และ SAMEORIGIN คำสั่ง ALLOW-FROM ที่เคยใช้ก่อนหน้านี้เลิกใช้แล้ว

ค่า DENY ช่วยป้องกันไม่ให้เว็บไซต์ฝังเนื้อหาเว็บไซต์ของคุณในเฟรมได้อย่างมีประสิทธิภาพ การตั้งค่า X-Frame-Options เป็น SAMEORIGIN อนุญาตให้มีการเฟรมเนื้อหาหากคำขอมาจากหน้าอื่นในเว็บไซต์ของคุณ

ในการกำหนดค่าส่วนหัว X-Frame-Options บนเว็บไซต์ WordPress ของคุณ ให้เพิ่มหนึ่งในบรรทัดต่อไปนี้ในไฟล์ .htaccess ในไดเร็กทอรีการติดตั้ง WordPress (โปรดทราบว่าใช้ตัวเลือกชุด)

 ส่วนหัวตั้งค่า X-Frame-Options "DENY"
 ส่วนหัวตั้งค่า X-Frame-Options "SAMEORIGIN"

แม้ว่าเบราว์เซอร์สมัยใหม่จะรองรับ X-Frame-Options เพียงบางส่วน หรือแม้แต่เลิกใช้งานตามคำสั่ง CSP frame-ancestors แต่การกำหนดค่าบนเว็บไซต์ WordPress ของคุณจะปกป้องเบราว์เซอร์รุ่นเก่า

กำหนดค่าคำสั่ง Frame-Ancestors ของนโยบายความปลอดภัยของเนื้อหา

ส่วนหัวการตอบสนองของนโยบายความปลอดภัยของเนื้อหาเป็นมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพซึ่งสามารถช่วยบรรเทาการโจมตีได้หลายอย่าง รวมถึงคลิกแจ็ค การเขียนสคริปต์ข้ามไซต์ การปลอมแปลงคำขอ การดมแพ็คเก็ต และการโจมตีด้วยการแทรกข้อมูล นโยบายความปลอดภัยของเนื้อหารองรับโดยเบราว์เซอร์สมัยใหม่ทั้งหมด

คำสั่งเฟรมบรรพบุรุษของนโยบายความปลอดภัยของเนื้อหาสามารถตั้งค่าเป็น ไม่มี หรือตั้งค่า เอง เพื่อปฏิเสธการเฟรมเนื้อหาหรือจำกัดการใช้งานให้อยู่ในขอบเขตของเว็บไซต์เดียวกัน หรือคุณสามารถระบุรายชื่อเว็บไซต์ที่เชื่อถือได้พร้อมกับรายการประเภทเนื้อหา แต่ละกรอบ

การเพิ่มบรรทัดด้านล่างใน .htaccess จะจำกัดการเฟรมเนื้อหาทุกประเภทไปยังเว็บไซต์ปัจจุบัน:

 ส่วนหัวตั้งค่าเนื้อหา-ความปลอดภัย-นโยบาย "เฟรมบรรพบุรุษ 'ตัวเอง'”

รูปแบบต่อไปนี้จำเป็นต้องใช้ HTTPS:

 ส่วนหัวกำหนดเนื้อหา-ความปลอดภัย-นโยบาย “เฟรม-บรรพบุรุษ 'ตนเอง' https://mywpsite.com" 

เพิ่มส่วนหัว Set-Cookie ด้วยแอตทริบิวต์ SameSite

ส่วนหัวการตอบสนองของ Set-Cookie ใช้เพื่อถ่ายโอนคุกกี้จากเซิร์ฟเวอร์ไปยังเบราว์เซอร์ การกำหนดค่าแอ็ตทริบิวต์ SameSite ช่วยให้คุณสามารถจำกัดการใช้คุกกี้ในเว็บไซต์ปัจจุบันได้ ซึ่งช่วยให้มั่นใจได้ถึงการป้องกันการโจมตีแบบ clickjacking ที่กำหนดให้ผู้ใช้ต้องได้รับการรับรองความถูกต้องบนเว็บไซต์เป้าหมายและการปลอมแปลงคำขอข้ามไซต์

การตั้งค่า SameSite ให้ เข้มงวด จะป้องกันไม่ให้ส่งเซสชันคุกกี้อย่างมีประสิทธิภาพหากมีการร้องขอไปยังเว็บไซต์เป้าหมายภายในเฟรม แม้ว่าผู้ใช้จะได้รับการรับรองความถูกต้องในทรัพยากรเป้าหมายก็ตาม โปรดทราบว่ามาตรการเพียงอย่างเดียวไม่สามารถลดการโจมตีแบบคลิกแจ็กและการปลอมแปลงข้ามสคริปต์ได้ทุกประเภท

หากต้องการใช้แอตทริบิวต์ SameSite ของส่วนหัว Set Cookie บนไซต์ WordPress ของคุณ ให้เพิ่มบรรทัดต่อไปนี้ในไฟล์ .htaccess:

 ชุดส่วนหัว Set-Cookie ^(.*)$ "$1; SameSite=Strict; Secure 

การทดสอบ Clickjacking อย่างง่าย

คุณสามารถตรวจสอบว่าสามารถโหลดเนื้อหาเว็บไซต์ของคุณในเฟรมจากแหล่งข้อมูลอื่นได้หรือไม่โดยสร้างหน้า HTML แบบง่าย สร้างไฟล์ HTML ด้วยรหัสด้านล่างที่จัดทำโดย OWASP และเปิดในเบราว์เซอร์ของคุณ หากคุณไม่เห็นหน้าเว็บที่ฝังอยู่ในเฟรม แสดงว่าการจำกัดเฟรมเนื้อหาสำเร็จแล้ว

โปรดทราบว่าเป็นการดีที่สุดที่จะอัปโหลดหน้าเว็บไปยังเว็บไซต์อื่นที่คุณเป็นเจ้าของ เว้นแต่ว่าคุณได้ปิดใช้งานการเฟรมเนื้อหาทั้งหมด ในกรณีนั้น คุณสามารถสร้างเว็บไซต์เดียวกับที่คุณกำลังทดสอบได้

<html>
<head>
<title>Clickjacking Test</title>
</head>
<body>
<iframe src="https://mywpsite.com/some-page" width="500" height="500"></iframe>
</body>
</html>

ป้องกัน Clickjacking และการโจมตีทางไซเบอร์อื่นๆ บนไซต์ WordPress ของคุณด้วย iThemes Security Pro

Clickjacking หรือที่เรียกว่าการแก้ไขอินเทอร์เฟซผู้ใช้ ใช้ประโยชน์จากความสามารถในการโหลดหน้าเว็บภายในหน้าเว็บอื่นเพื่อหลอกลวงผู้ใช้ให้ดำเนินการอย่างอื่นที่ไม่ต้องการ WordPress Clickjacking กลายเป็นเรื่องธรรมดามากเนื่องจากขาดการป้องกันในตัวที่จะรักษาความปลอดภัยหน้าเว็บอื่นนอกเหนือจากหน้าเข้าสู่ระบบ WordPress และแดชบอร์ดผู้ดูแลระบบ

ป้องกันตัวเองจากการคลิกแจ็กโดยจำกัดความสามารถของผู้อื่นในการตีกรอบเนื้อหาเว็บไซต์ของคุณโดยใช้ส่วนหัวการตอบสนอง HTTP เช่น X-FRAME-OPTIONS, นโยบายความปลอดภัยของเนื้อหา และ Set-Cookie การใช้ไฟล์ .htaccess ในเครื่องในไดเร็กทอรีการติดตั้ง WordPress ของคุณ คุณสามารถใช้นโยบายความปลอดภัยเหล่านี้ได้ทั่วทั้งไซต์

Clickjacking ยังคงเป็นภัยคุกคามความปลอดภัยที่ใช้งานอยู่ และการเขียนสคริปต์ข้ามไซต์ควบคู่ไปกับการปลอมแปลงคำขอมักจะทำควบคู่กันไป เริ่มป้องกันตัวเองจากภัยคุกคามความปลอดภัยทั่วไปเช่นนี้โดยพิจารณาถึงความปลอดภัยเว็บไซต์ WordPress ของคุณทุกด้าน

iThemes Security Pro นำเสนอวิธีการมากกว่า 30 วิธีในการปกป้องพื้นที่ที่มีความเสี่ยงมากที่สุดในเว็บไซต์ WordPress ของคุณ ปกป้องพื้นที่ดังกล่าวจากกลวิธีที่ทันสมัยและซับซ้อนมากมายที่ผู้ประสงค์ร้ายใช้ การสแกนช่องโหว่ที่ทรงพลัง การตรวจสอบสิทธิ์แบบไม่ใช้รหัสผ่าน และการตรวจสอบความสมบูรณ์ของไฟล์ช่วยให้คุณลดพื้นผิวการโจมตีได้อย่างมาก

BackupBuddy และ iThemes Sync Pro จะช่วยให้คุณสำรองข้อมูลเว็บไซต์ WordPress ของคุณอย่างสม่ำเสมอและให้การตรวจสอบสถานะการออนไลน์ขั้นสูงรวมถึงการวิเคราะห์ SEO

iThemes จะช่วยให้คุณไม่พลาดข่าวสารล่าสุดเกี่ยวกับภัยคุกคามด้านความปลอดภัยและข่าวสารในชุมชน WordPress หากคุณยังใหม่กับ WordPress การฝึกอบรม WordPress ฟรีของ iThemes อาจเป็นสิ่งที่คุณต้องการสำหรับการเริ่มต้นที่ดี