Hi ha una eina interesant de Mozilla per comprovar la seguretat d'una web. L'he provada amb una web pròpia i estava al nivell F. he seguit les suggerències de millora, i m'ha estat necessari revisar algunes recomanacions pel camí sobre .htaccess, php cookies, seguretat a wordpress, php.ini i més.
https://observatory.mozilla.org/analyze/
Prèviament ja tenia un certificat de seguretat implementat (Let's Encrypt) i forçava https en lloc de http. Per exemple , amb un redirecció 301 de http a https
Seguin les recomanacions del Mozilla Observatory he afegit el següent codi a .htaccess (al ser un hosting compartit) . La seguretat de la meva web ha passat del nivell F i 0/100 a nivell B i puntuació 70/100. No està gens malament per un parell d'hores de documentació i feina al servidor.
Fitxer .htaccess
Es tracta d'afegir aquest codi al fitxer .htaccess a l'arrel de la web. Aquestes son les opcions que m'han anat bé a mi.
# Security
<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=63072000;"
Header set X-Content-Type-Options nosniff
Header always append X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header set X-XSS-Protection "1; mode=block"
</IfModule>
Algunes aclaracions:
#Header set Strict-Transport-Security "max-age=63072000;"
Prova primer si et funciona la web escrivint max-age=300, que son 5 minuts. Si funciona correctament, en principi ho pots posar al valor definitiu.
#Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Aquesta opció Força les cookies amb httponly i secure encara que php.ini no sigui accesible o
session_set_cookie_params no estigui utilitzada adecuadament en el PHP abans de
session_start
