Actualités WEB et WordPress, thèmes, plugins. Ici, nous partageons des conseils et les meilleures solutions de sites Web.

Arrêtez le détournement de clic en empêchant votre site WordPress de se charger dans un cadre

22

Le détournement de clics est un risque de sécurité potentiel causé par quelqu’un qui charge votre site Web dans un cadre sur un autre site Web et le fait apparaître comme si le site Web est légitime, mais il détournera les interactions que vous effectuez avec ce site, telles que les soumissions de formulaires.

Par exemple, si votre site Web nécessite qu’un utilisateur se connecte, le site Web malveillant pourrait enregistrer le nom d’utilisateur et les mots de passe des utilisateurs qui se connectent via leur site encadré via une attaque de détournement de clic.

Heureusement, empêcher le détournement de clic dans WordPress est assez simple. Vous pouvez simplement ajouter ce petit extrait de code dans votre functions.phpfichier pour définir l’ en- X-FRAME-OPTIONStête surSAMEORIGIN.


function wc_prevent_clickjacking() {
    header( 'X-FRAME-OPTIONS: SAMEORIGIN' );
}
add_action( 'send_headers', 'wc_prevent_clickjacking', 10 );

Cela enverra un en-tête avec WordPress qui indique aux navigateurs d’empêcher les pages d’apparaître dans des cadres qui ne sont pas hébergés sur le même domaine que votre site Web.

Clickjacking et anciens navigateurs

Les navigateurs plus anciens (navigateurs antérieurs à Internet Explorer 8 (IE8)) ne comprennent pas l’ X-FRAME-OPTIONSen-tête, nous devons donc nous rabattre sur JavaScript. Pour cela vous pouvez utiliser le code suivant :


try { top.document.domain } catch (e) {
    var f = function() {
        document.body.innerHTML = '';
    };
    setInterval( f, 1 );
    if (document.body) {
        document.body.onload = f;
    };
}

Dans votre thème, créez un dossier nommé JSet coupez et collez cet extrait de code dans un fichier appelé clickjack-protection.js.

Bien sûr, nous voulons uniquement mettre en file d’attente le script ci-dessus à charger pour les navigateurs antérieurs à IE8, nous pouvons donc utiliser une bonne vieille instruction conditionnelle pour ce faire, en plaçant le code suivant dans votre functions.phpfichier :


 function wc_prevent_clickjacking_older_browsers() {
    $script_url = get_stylesheet_directory_uri(). 'js/clickjack-protection.js';
    wp_enqueue_script(
        'clickjack-protection-js',
        $script_url
    );

    wp_script_add_data( 'clickjack-protection-js', 'conditional', 'lt IE 8' );
}
add_action( 'wp_enqueue_scripts', 'wc_prevent_clickjacking_older_browsers', 10 );

Source d’enregistrement: wholesomecode.ltd
You might also like More from author

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More