Cara Menambahkan Header Keamanan HTTP di WordPress

Dalam hal mendesain situs web WordPress, tidak ada yang namanya terlalu aman. Setiap lapisan keamanan adalah jaminan lebih lanjut bahwa informasi Anda dan pelanggan Anda akan tetap terlindungi. Namun, sayangnya, beberapa tindakan keamanan dapat menghalangi Anda dengan cara yang berbeda . Idealnya, Anda ingin menambahkan fitur keamanan ekstra ke situs web Anda tanpa membahayakan pengalaman pengguna. Dan, ternyata, itulah yang ditawarkan oleh header keamanan HTTP. Jadi, mari kita lihat lebih dekat cara menambahkan header keamanan HTTP di WordPress.

Memahami header keamanan HTTP

Penggunaan utama dari header keamanan HTTP adalah sebagai peringatan. Saat pengunjung datang ke situs web Anda, mereka akan menerima respons header HTTP dari server Anda . Respons akan memberi tahu browser mereka jika ada kode kesalahan, kontrol cache, dan berbagai aspek lainnya. Jika semuanya baik-baik saja, respons header akan mengeluarkan status HTTP 200. Dengan menerima ini, browser pengguna akan memiliki lampu hijau untuk memuat situs web Anda. Namun, jika ada kesulitan, pengguna akan mendapatkan header yang berbeda. Contoh umum adalah 500 kesalahan server internal, atau kesalahan 404 tidak ditemukan.

Header keamanan HTTP adalah jenis header yang dapat dikirim oleh server Anda. Mereka berfungsi untuk memperingatkan browser tentang skrip lintas situs, serangan brute force, pembajakan klik, dan berbagai ancaman keamanan lainnya. Jenis header keamanan HTTP yang paling umum adalah:

• HTTP Strict Transport Security (HSTS) – Header ini memberi tahu browser pengguna bahwa situs web Anda menggunakan HTTPS.
• Proteksi X-XSS – Header ini memblokir skrip lintas situs.
• X-Frame-Options – Header ini mencegah pembajakan klik dan iframe lintas domain.
• X-Content-Type-Options – Header ini memblokir sniffing tipe mime.

Seperti yang Anda lihat, header keamanan dapat memainkan peran penting dalam seberapa aman situs web Anda. Jadi, dengan menyingkir, mari kita lihat beberapa cara di mana Anda dapat memasukkan header keamanan HTTP di situs web Anda.

Tambahkan header keamanan HTTP di WordPress

Cara terbaik untuk mengatur header keamanan HTTP adalah pada tingkat server web. Dengan melakukannya, Anda akan memastikan bahwa mereka terpicu pada awal permintaan HTTP , dan karena itu memberikan jumlah keamanan maksimum. Dan, Anda tidak perlu khawatir melakukannya untuk halaman arahan yang berbeda, karena tajuk ditetapkan pada tingkat server. Pilihan lainnya adalah menggunakan firewall situs web tingkat DSN. Menyiapkan pada level ini biasanya dianggap lebih mudah, tetapi bisa menjadi masalah jika menyangkut langkah-langkah keamanan. Namun demikian, kami akan membahas kedua metode tersebut dan cara menerapkannya.

Menggunakan plugin WordPress

Seperti kebanyakan kasus tentang WordPress, menggunakan plugin adalah cara termudah untuk mengubah sesuatu. Untungnya, header keamanan HTTP tidak terkecuali. Hal pertama yang harus dilakukan adalah menginstal plugin Redirection. Setelah Anda menginstal dan mengaktifkannya, Anda akan melihat wizard pengaturan. Cukup ikuti instruksinya untuk mengaturnya. Setelah selesai, buka halaman Alat -> Pengalihan, dan alihkan ke tab "Situs". Di sana Anda perlu menggulir ke bawah ke bawah dan klik "Tambah Header". Di menu tarik-turun yang menunjukkan Anda dapat memilih opsi "Tambah Preset Keamanan". Dengan melakukannya, Anda akan disajikan daftar header keamanan HTTP . Anda kemudian dapat meninjau dan mengubah tajuk (jika perlu), dan akhirnya menerapkannya di situs web Anda. Ingatlah untuk mengklik tombol "Perbarui" setelah Anda selesai.

Menggunakan .htaccess

Sekarang mari kita menjauh dari plugin run-of-the-mill, dan mari kita jelajahi beberapa metode yang sedikit lebih rumit. Metode berikut akan memungkinkan Anda untuk mengatur header keamanan HTTP pada tingkat server. Yaitu, apa yang akan Anda lakukan adalah mengubah file .htaccess di situs web Anda . Perangkat lunak server web Apache paling sering menggunakan file ini untuk konfigurasi server. Untuk mengubahnya, Anda dapat menggunakan klien FTP, atau menuju ke panel kontrol hosting dan menggunakan aplikasi pengelola file . Anda akan menemukan file .htaccess di folder root situs web Anda. Setelah Anda melakukannya, Anda klik kanan padanya dan pilih edit.

Setelah itu, editor teks akan terbuka. Di dalamnya, Anda perlu menggulir ke bawah dan menambahkan kode yang akan mengimplementasikan header keamanan HTTP. Ada beberapa variasi dalam hal tajuk mana yang ingin Anda terapkan. Oleh karena itu, Anda harus menggali lebih dalam untuk mengetahui header mana yang paling cocok untuk Anda . Kode berikut adalah titik awal yang baik karena berisi header yang paling umum digunakan:

<ifModule mod_headers.c>
Set tajuk Ketat-Transportasi-Keamanan “max-age=31536000” env=HTTPS
Set header X-XSS-Protection “1; modus = blok”
Header mengatur X-Content-Type-Options nosniff
Kumpulan header X-Frame-Options DITOLAK
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModul>

Ingatlah untuk menyimpan perubahan Anda setelah Anda menyalin kode.

Menggunakan Cloudflare

Dalam hal menangani situs web, Cloudfare adalah alat yang cukup baik. Dengan menggunakannya, Anda akan memiliki firewall dasar, yang lebih dari cukup untuk melindungi Anda dari bot dan serangan malware standar. Dan Anda akan memiliki layanan CDN. Sayangnya, itu bisa sedikit kurang dalam versi gratisnya . Jadi, jika Anda akhirnya menyukainya, Anda mungkin perlu memilih yang premium.

Penggunaan lain dari Cloudfare adalah Anda dapat menambahkan header keamanan HTTP di WordPress. Untuk melakukannya, Anda harus menginstal dan mengaktifkannya terlebih dahulu. Setelah Anda melakukannya, buka halaman SSL/TLS di bawah akun Anda. Kemudian Anda harus beralih ke tab Edge Certificates. Sekarang Anda harus menggulir ke bawah dan membuka bagian HSTS (HTTP Strict Transport Security). Sekarang lanjutkan dengan mengklik tombol Aktifkan HSTS. Di sini Anda akan diminta untuk mengaktifkan HTTPS di blog WordPress Anda. Setelah Anda melakukannya, Anda akan memiliki akses ke header keamanan HTTP.