Session Cookie Sicherheitsfragen

Ich bin ein .NET-Entwickler, aber ich administriere auch alle unsere Unternehmenswebseiten, die alle WordPress sind. Ich habe die Seiten von jemandem geerbt, der nicht mehr in meiner Firma ist.

Meine Firma hat vor kurzem eine Menge Geld für eine Sicherheitsüberprüfung von Beratern ausgegeben und sie haben die folgenden Probleme bezüglich Login / Cookie und ihrer functionsweise in WordPress festgestellt.

– Die Sitzungscookies der Benutzer sind nicht sicher. Die Sitzungsbestätigung wird nicht gelöscht und ist weiterhin aktiv, wenn sich ein Benutzer abmeldet. Der Sitzungscookie enthält den Benutzernamen

Gibt es eine Möglichkeit, diese Probleme zu beheben?

Solutions Collecting From Web of "Session Cookie Sicherheitsfragen"

Die functionen, die Authentifizierungs-Cookies erzeugen, validieren und löschen, sind alle steckbar (dh Sie können Ihre eigenen Versionen davon schreiben). Beachten Sie, dass einige von ihnen möglicherweise etwas Spezifisches zurückgeben müssen (wie die Benutzer-ID).

  • wp_generate_auth_cookie () (generiert Cookies)
  • wp_set_auth_cookie (setzt die Cookies)
  • wp_validate_auth_cookie () (validiert deine Cookies)
  • wp_parse_auth_cookie (analysiert ein Auth-Cookie und zerlegt es in seine Bestandteile)
  • wp_clear_auth_cookie ( lösche die Authentifizierungs-Cookies beim Abmelden)

Ein Hinweis: Die Cookies sollten beim Abmelden tatsächlich zerstört werden. Wenn sie nicht zerstört werden, ist wahrscheinlich etwas falsch. Und “Benutzer-Session-Cookies sind nicht sicher” ist ziemlich vage – Sie sollten nach mehr Input fragen, bevor Sie sich vorstellen können, wie Sie das beheben können.

Um das Problem “Sitzungscookie enthält Benutzername” zu lösen, könnten Sie den Wert vor dem Festlegen irgendwie verschlüsseln / verschleiern und entschlüsseln, bevor Sie ihn durch die Authentifizierungsprüfung ausführen.