كيفية إضافة رؤوس أمان HTTP في WordPress

نشرت: 2021-04-20

عندما يتعلق الأمر بتصميم موقع WordPress على الويب ، فلا يوجد شيء مثل الأمان للغاية. كل طبقة من الأمان هي ضمان إضافي بأن معلوماتك ومعلومات عملائك ستظل محمية. ولكن ، للأسف ، يمكن لبعض تدابير السلامة أن تعيقك بطرق مختلفة . من الناحية المثالية ، تريد إضافة ميزات أمان إضافية إلى موقع الويب الخاص بك دون تعريض تجربة المستخدم للخطر. وكما اتضح ، هذا هو بالضبط ما تقدمه رؤوس أمان HTTP. لذلك ، دعونا نلقي نظرة فاحصة على كيفية إضافة رؤوس أمان HTTP في WordPress.

فهم رؤوس أمان HTTP

يعد الاستخدام الرئيسي لرؤوس أمان HTTP بمثابة تحذير. عندما يأتي زائر إلى موقع الويب الخاص بك ، سيتلقى استجابة رأس HTTP من خادمك . ستخبر الاستجابة متصفحهم إذا كان هناك أي رموز خطأ ، والتحكم في ذاكرة التخزين المؤقت ، وجوانب أخرى مختلفة. إذا كان كل شيء على ما يرام ، فستصدر استجابة الرأس حالة HTTP 200. من خلال تلقي هذا ، سيكون لمتصفح المستخدم ضوء أخضر لتحميل موقع الويب الخاص بك. ولكن ، في حالة وجود أي صعوبات ، سيحصل المستخدم على عنوان مختلف. الأمثلة الشائعة هي 500 خطأ داخلي في الخادم ، أو خطأ 404 غير موجود.

404 مكتوبة في كتل.
404 خطأ شائع إلى حد ما.

رؤوس أمان HTTP هي نوع من الرؤوس يمكن لخادمك إرسالها. إنها تعمل على تحذير المتصفحات من البرمجة النصية عبر المواقع ، وهجمات القوة الغاشمة ، واختطاف النقرات ، والعديد من التهديدات الأمنية الأخرى. الأنواع الأكثر شيوعًا لرؤوس أمان HTTP هي:

  • HTTP Strict Transport Security (HSTS) - يُعلم هذا العنوان متصفح المستخدم أن موقع الويب الخاص بك يستخدم HTTPS.
  • حماية X-XSS - يحظر هذا الرأس البرمجة النصية عبر المواقع.
  • X-Frame-Options - يمنع هذا الرأس النقر فوق إطارات iframe وعبر المجال.
  • X-Content-Type-Options - هذا الرأس يمنع استنشاق نوع التمثيل الصامت.

كما ترى ، يمكن أن تلعب رؤوس الأمان دورًا مهمًا في مدى أمان موقع الويب الخاص بك. لذلك ، مع هذا بعيدًا ، دعنا نرى طريقتين يمكنك من خلالها دمج رؤوس أمان HTTP في موقع الويب الخاص بك.

أضف رؤوس أمان HTTP في WordPress

أفضل طريقة لتعيين رؤوس أمان HTTP هي على مستوى خادم الويب. من خلال القيام بذلك ، ستضمن تشغيلها في بداية طلب HTTP ، وبالتالي توفير أقصى قدر من الأمان. ولا داعي للقلق بشأن القيام بذلك لصفحات مقصودة مختلفة ، حيث يتم تعيين الرؤوس على مستوى الخادم. الخيار الآخر هو استخدام جدار حماية موقع ويب على مستوى DSN. عادةً ما يُعتبر الإعداد على هذا المستوى أسهل ، ولكنه قد يكون مشكلة عندما يتعلق الأمر بتدابير السلامة. ومع ذلك ، سوف نستعرض كلتا الطريقتين وكيفية تطبيقهما.

استخدام البرنامج المساعد WordPress

كما هو الحال مع معظم الحالات المتعلقة بـ WordPress ، فإن استخدام مكون إضافي هو أسهل طريقة لتغيير شيء ما. لحسن الحظ ، فإن رؤوس أمان HTTP ليست استثناءً. أول شيء يجب فعله هو تثبيت المكون الإضافي Redirection. بمجرد تثبيته وتنشيطه ، سترى معالج الإعداد. ما عليك سوى اتباع تعليماتها لإعدادها. بعد القيام بذلك ، انتقل إلى أدوات -> صفحة إعادة التوجيه ، وانتقل إلى علامة التبويب "الموقع". هناك تحتاج إلى التمرير لأسفل إلى أسفل والنقر على "إضافة رأس". في القائمة المنسدلة التي تظهر ، يمكنك اختيار خيار "إضافة إعدادات الأمان المسبقة". من خلال القيام بذلك ، ستظهر لك قائمة برؤوس أمان HTTP . يمكنك بعد ذلك مراجعة الرؤوس وتغييرها (إذا لزم الأمر) ، وتنفيذها في النهاية على موقع الويب الخاص بك. فقط تذكر النقر فوق الزر "تحديث" بمجرد الانتهاء.

علامة التبويب "الأمان" في WordPress.
بينما يجب عليك إضافة رؤوس أمان HTTP في WordPress ، فاعلم أنك ستحتاج إلى مكونات إضافية للحفاظ على موقع الويب الخاص بك آمنًا.

باستخدام htaccess

دعنا الآن نبتعد عن المكونات الإضافية العادية ، ودعنا نستكشف بعض الطرق الأكثر تعقيدًا. ستسمح لك الطريقة التالية بتعيين رؤوس أمان HTTP على مستوى الخادم. أي ما ستفعله هو تغيير ملف htaccess على موقع الويب الخاص بك . يستخدم برنامج خادم الويب Apache هذا الملف بشكل شائع لتكوين الخادم. لتغييره ، يمكنك إما استخدام عميل FTP ، أو التوجه إلى لوحة تحكم الاستضافة واستخدام تطبيق مدير الملفات . ستجد ملف .htaccess في المجلد الجذر لموقعك على الويب. بمجرد القيام بذلك ، انقر بزر الماوس الأيمن فوقه وحدد تحرير.

سيؤدي القيام بذلك إلى فتح محرر النصوص. في ذلك ، تحتاج إلى التمرير لأسفل إلى أسفل وإضافة الكود الذي سينفذ رؤوس أمان HTTP. هناك بعض التنوع عندما يتعلق الأمر بالعناوين التي ترغب في تنفيذها. لذلك ، يجب عليك البحث بشكل أعمق قليلاً لمعرفة العناوين الأنسب لك . يعتبر الكود التالي نقطة بداية جيدة لأنه يحتوي على الرؤوس الأكثر استخدامًا:

<ifModule mod_headers.c>
مجموعة الرأس Strict-Transport-Security “max-age = 31536000” env = HTTPS
مجموعة الرأس X-XSS-Protection "1 ؛ الوضع = كتلة "
تعيين رأس X-Content-Type-Options nosniff
مجموعة رأس X-Frame-Options DENY
مجموعة الرأس Referrer-Policy: no-calling-when-downgrade
</ifModule>

فقط تذكر أن تحفظ تغييراتك بمجرد نسخ الرمز.

كمبيوتر محمول متصل بمواقع الويب في بلدان مختلفة ، يوضح الحاجة إلى إضافة رؤوس أمان HTTP في WordPress.
من الصعب التغلب على الإجراءات الأمنية على مستوى الخادم.

باستخدام Cloudflare

عندما يتعلق الأمر بالتعامل مع موقع ويب ، فإن Cloudfare هي أداة جيدة جدًا. باستخدامه ، سيكون لديك جدار حماية أساسي ، وهو أكثر من كافٍ لحمايتك من الروبوتات وهجمات البرامج الضارة القياسية. وسيكون لديك خدمة CDN. لسوء الحظ ، يمكن أن يكون مفقودًا بعض الشيء في نسخته المجانية . لذلك ، إذا انتهى بك الأمر إلى الإعجاب به ، فقد تحتاج إلى اختيار واحدة متميزة.

استخدام آخر لـ Cloudfare هو أنه يمكنك إضافة رؤوس أمان HTTP في WordPress. للقيام بذلك ، ستحتاج أولاً إلى تثبيته وتنشيطه. بمجرد القيام بذلك ، توجه إلى صفحة SSL / TLS ضمن حسابك. ثم ستحتاج إلى التبديل إلى علامة التبويب Edge Certificates. ستحتاج الآن إلى التمرير لأسفل وفتح قسم HSTS (أمان نقل HTTP الصارم). الآن تابع للنقر على زر Enable HSTS. سيُطلب منك هنا تمكين HTTPS على مدونة WordPress الخاصة بك. بمجرد القيام بذلك ، سيكون لديك وصول إلى رؤوس أمان HTTP.