Jak dodać nagłówki bezpieczeństwa HTTP w WordPress

Jeśli chodzi o projektowanie witryny WordPress, nie ma czegoś takiego jak bycie zbyt bezpiecznym. Każda warstwa bezpieczeństwa jest kolejną gwarancją, że informacje Twoje i Twoich klientów pozostaną chronione. Niestety, niektóre środki bezpieczeństwa mogą Ci przeszkadzać na różne sposoby . Najlepiej, jeśli chcesz dodać dodatkowe funkcje bezpieczeństwa do swojej witryny bez narażania doświadczenia użytkownika. I jak się okazuje, właśnie to oferują nagłówki bezpieczeństwa HTTP. Przyjrzyjmy się więc, jak dodać nagłówki bezpieczeństwa HTTP w WordPressie.

Zrozumienie nagłówków bezpieczeństwa HTTP

Głównym zastosowaniem nagłówków bezpieczeństwa HTTP jest ostrzeżenie. Gdy użytkownik wejdzie na Twoją witrynę, otrzyma odpowiedź nagłówka HTTP z Twojego serwera . Odpowiedź poinformuje przeglądarkę o jakichkolwiek kodach błędów, kontroli pamięci podręcznej i różnych innych aspektach. Jeśli wszystko jest w porządku, odpowiedź nagłówka wygeneruje status HTTP 200. Po otrzymaniu tego, przeglądarka użytkownika będzie miała zielone światło, aby załadować Twoją witrynę. Ale jeśli wystąpią jakiekolwiek trudności, użytkownik otrzyma inny nagłówek. Typowe przykłady to 500 wewnętrznych błędów serwera lub błąd 404 nie znaleziono.

Nagłówki bezpieczeństwa HTTP to typ nagłówka, który może wysłać Twój serwer. Służą one do ostrzegania przeglądarek przed atakami typu cross-site scripting, atakami typu brute force, click-jacking i różnymi innymi zagrożeniami bezpieczeństwa. Najczęstsze typy nagłówków bezpieczeństwa HTTP to:

• HTTP Strict Transport Security (HSTS) — ten nagłówek informuje przeglądarkę użytkownika, że ​​witryna korzysta z protokołu HTTPS.
• X-XSS Protection — ten nagłówek blokuje wykonywanie skryptów między witrynami.
• X-Frame-Options — ten nagłówek zapobiega przejmowaniu kliknięć i elementom iframe między domenami.
• X-Content-Type-Options — ten nagłówek blokuje podsłuchiwanie typu MIME.

Jak widać, nagłówki bezpieczeństwa mogą odgrywać ważną rolę w tym, jak bezpieczna jest Twoja witryna. Pomijając to, zobaczmy kilka sposobów na włączenie nagłówków bezpieczeństwa HTTP do swojej witryny.

Dodaj nagłówki bezpieczeństwa HTTP w WordPress

Najlepszym sposobem ustawienia nagłówków zabezpieczeń HTTP jest ustawienie na poziomie serwera WWW. W ten sposób upewnisz się, że zostaną wyzwolone na początku żądania HTTP , a tym samym zapewnisz maksymalne bezpieczeństwo. I nie musisz się o to martwić w przypadku różnych stron docelowych, ponieważ nagłówki są ustawiane na poziomie serwera. Inną opcją jest skorzystanie z zapory sieciowej na poziomie DSN. Konfiguracja na tym poziomie jest zwykle uważana za łatwiejszą, ale może być problematyczna, jeśli chodzi o środki bezpieczeństwa. Niemniej jednak omówimy obie metody i sposoby ich zastosowania.

Korzystanie z wtyczki WordPress

Jak w większości przypadków dotyczących WordPressa, najłatwiejszym sposobem na zmianę jest użycie wtyczki. Na szczęście nagłówki bezpieczeństwa HTTP nie są wyjątkiem. Pierwszą rzeczą do zrobienia jest zainstalowanie wtyczki Przekierowanie. Po zainstalowaniu i aktywacji zobaczysz kreatora konfiguracji. Po prostu postępuj zgodnie z instrukcjami, aby go skonfigurować. Po wykonaniu tej czynności przejdź do strony Narzędzia -> Przekierowanie i przejdź do zakładki „Witryna”. Tam musisz przewinąć w dół i kliknąć „Dodaj nagłówek”. W rozwijanym menu, które pokazuje, możesz wybrać opcję „Dodaj ustawienia zabezpieczeń”. W ten sposób zostanie wyświetlona lista nagłówków zabezpieczeń HTTP . Następnie możesz przejrzeć i zmienić nagłówki (jeśli zajdzie taka potrzeba), a na koniec zaimplementować je na swojej stronie. Pamiętaj tylko, aby po zakończeniu kliknąć przycisk „Aktualizuj”.

Korzystanie z .htaccess

Odejdźmy teraz od zwykłych wtyczek i przyjrzyjmy się nieco bardziej skomplikowanym metodom. Poniższa metoda pozwoli Ci ustawić nagłówki zabezpieczeń HTTP na poziomie serwera. Mianowicie, co zamierzasz zrobić, to zmienić plik .htaccess na swojej stronie . Oprogramowanie serwera WWW Apache najczęściej używa tego pliku do konfiguracji serwera. Aby to zmienić, możesz użyć klienta FTP lub przejść do panelu sterowania hostingu i użyć aplikacji do zarządzania plikami . Plik .htaccess znajdziesz w folderze głównym swojej witryny. Gdy to zrobisz, kliknij go prawym przyciskiem myszy i wybierz edytuj.

Spowoduje to otwarcie edytora tekstu. W nim musisz przewinąć w dół i dodać kod, który zaimplementuje nagłówki bezpieczeństwa HTTP. Istnieje pewna różnorodność, jeśli chodzi o nagłówki, które chcesz zaimplementować. Dlatego powinieneś sięgnąć nieco głębiej, aby dowiedzieć się, które nagłówki są dla Ciebie najlepsze . Poniższy kod jest dobrym punktem wyjścia, ponieważ zawiera najczęściej używane nagłówki:

<ifModule mod_headers.c>
Zestaw nagłówków Strict-Transport-Security „max-age=31536000” env=HTTPS
Zestaw hederów X-XSS-Ochrona „1; tryb=blok”
Zestaw nagłówków X-Content-Type-Options nosniff
Zestaw hederów X-Frame-Opcje DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>

Pamiętaj tylko, aby zapisać zmiany po skopiowaniu kodu.

Korzystanie z Cloudflare

Jeśli chodzi o obsługę strony internetowej, Cloudfare jest całkiem przyzwoitym narzędziem. Korzystając z niego, będziesz mieć podstawową zaporę ogniową, która jest więcej niż wystarczająca, aby chronić Cię przed botami i standardowymi atakami złośliwego oprogramowania. I będziesz miał usługę CDN. Niestety w darmowej wersji może jej trochę brakować . Jeśli więc Ci się spodoba, być może będziesz musiał wybrać wersję premium.

Innym zastosowaniem Cloudfare jest możliwość dodania nagłówków bezpieczeństwa HTTP w WordPress. Aby to zrobić, musisz go najpierw zainstalować i aktywować. Gdy to zrobisz, przejdź do strony SSL/TLS na swoim koncie. Następnie musisz przejść do zakładki Edge Certificates. Teraz musisz przewinąć w dół i otworzyć sekcję HSTS (HTTP Strict Transport Security). Teraz przejdź do kliknięcia przycisku Włącz HSTS. Tutaj zostaniesz poproszony o włączenie HTTPS na swoim blogu WordPress. Gdy to zrobisz, będziesz mieć dostęp do nagłówków zabezpieczeń HTTP.