Como adicionar cabeçalhos de segurança HTTP no WordPress

Quando se trata de projetar um site WordPress, não existe segurança demais. Cada camada de segurança é mais uma garantia de que suas informações e de seus clientes permanecerão protegidas. Mas, infelizmente, algumas medidas de segurança podem te atrapalhar de diversas formas . Idealmente, você deseja adicionar recursos extras de segurança ao seu site sem comprometer a experiência do usuário. E, como se vê, é exatamente isso que os cabeçalhos de segurança HTTP oferecem. Então, vamos dar uma olhada em como adicionar cabeçalhos de segurança HTTP no WordPress.

Noções básicas sobre cabeçalhos de segurança HTTP

O principal uso dos cabeçalhos de segurança HTTP é como um aviso. Quando um visitante chega ao seu site, ele recebe uma resposta de cabeçalho HTTP do seu servidor . A resposta informará ao navegador se houver algum código de erro, controle de cache e vários outros aspectos. Se tudo estiver ok, a resposta do cabeçalho emitirá um status HTTP 200. Ao receber isso, o navegador do usuário terá luz verde para carregar seu site. Mas, se houver alguma dificuldade, o usuário receberá um cabeçalho diferente. Exemplos comuns são 500 erros internos do servidor ou um erro 404 não encontrado.

Os cabeçalhos de segurança HTTP são um tipo de cabeçalho que seu servidor pode enviar. Eles servem para alertar os navegadores sobre scripts entre sites, ataques de força bruta, click-jacking e várias outras ameaças à segurança. Os tipos mais comuns de cabeçalhos de segurança HTTP são:

• HTTP Strict Transport Security (HSTS) – Este cabeçalho informa ao navegador do usuário que seu site usa HTTPS.
• Proteção X-XSS – Este cabeçalho bloqueia scripts entre sites.
• X-Frame-Options – Este cabeçalho evita o click-jacking e os iframes entre domínios.
• X-Content-Type-Options – Este cabeçalho bloqueia o sniffing do tipo mime.

Como você pode ver, os cabeçalhos de segurança podem desempenhar um papel importante na segurança do seu site. Então, com isso fora do caminho, vamos ver algumas maneiras pelas quais você pode incorporar cabeçalhos de segurança HTTP em seu site.

Adicionar cabeçalhos de segurança HTTP no WordPress

A melhor maneira de definir os cabeçalhos de segurança HTTP é no nível do servidor web. Ao fazer isso, você garantirá que eles sejam acionados no início de uma solicitação HTTP e, portanto, forneçam o máximo de segurança. E você não terá que se preocupar em fazer isso para diferentes páginas de destino, já que os cabeçalhos são definidos em um nível de servidor. A outra opção é usar um firewall de site no nível DSN. A configuração nesse nível geralmente é considerada mais fácil, mas pode ser problemática quando se trata de medidas de segurança. No entanto, abordaremos os dois métodos e como aplicá-los.

Usando um plug-in do WordPress

Como na maioria dos casos em relação ao WordPress, usar um plugin é a maneira mais fácil de mudar alguma coisa. Felizmente, os cabeçalhos de segurança HTTP não são exceção. A primeira coisa a fazer é instalar o plugin de redirecionamento. Depois de instalá-lo e ativá-lo, você verá um assistente de configuração. Basta seguir as instruções para configurá-lo. Feito isso, vá para a página Ferramentas -> Redirecionamento e mude para a aba “Site”. Lá você precisa rolar para baixo e clicar em "Adicionar cabeçalho". No menu suspenso que mostra, você pode escolher a opção "Adicionar predefinições de segurança". Ao fazer isso, você verá uma lista de cabeçalhos de segurança HTTP . Você pode revisar e alterar os cabeçalhos (se necessário) e, finalmente, implementá-los em seu site. Apenas lembre-se de clicar no botão “Atualizar” quando terminar.

Usando .htaccess

Vamos agora nos afastar dos plugins comuns e explorar alguns métodos que são um pouco mais complicados. O método a seguir permitirá que você defina os cabeçalhos de segurança HTTP em um nível de servidor. Ou seja, o que você vai fazer é alterar o arquivo .htaccess em seu site . O software de servidor web Apache geralmente usa esse arquivo para configuração do servidor. Para alterá-lo, você pode usar um cliente FTP ou acessar o painel de controle da hospedagem e usar o aplicativo gerenciador de arquivos . Você encontrará o arquivo .htaccess na pasta raiz do seu site. Feito isso, clique com o botão direito do mouse e selecione editar.

Fazê-lo vai abrir o editor de texto. Nele, você precisa rolar para baixo e adicionar o código que implementará os cabeçalhos de segurança HTTP. Há alguma variedade quando se trata de quais cabeçalhos você gostaria de implementar. Portanto, você deve se aprofundar um pouco mais para descobrir quais cabeçalhos são mais adequados para você . O código a seguir é um bom ponto de partida, pois contém os cabeçalhos mais usados:

<ifModule mod_headers.c>
Conjunto de cabeçalho Strict-Transport-Security “max-age=31536000” env=HTTPS
Conjunto de cabeçalho X-XSS-Proteção “1; modo=bloco”
Conjunto de cabeçalho X-Content-Type-Options nosniff
Conjunto de cabeçalho X-Frame-Options DENY
Conjunto de cabeçalhos Referrer-Policy: no-referrer-when-downgrade
</ifModule>

Apenas lembre-se de salvar suas alterações depois de copiar o código.

Usando Cloudflare

Quando se trata de lidar com um site, o Cloudfare é uma ferramenta bastante decente. Ao usá-lo, você terá um firewall básico, que é mais que suficiente para protegê-lo de bots e ataques de malware padrão. E você terá um serviço de CDN. Infelizmente, pode faltar um pouco em sua versão gratuita . Então, se você acabar gostando, talvez seja necessário optar por um premium.

Outro uso do Cloudfare é que você pode adicionar cabeçalhos de segurança HTTP no WordPress. Para fazer isso, primeiro você precisa instalá-lo e ativá-lo. Depois de fazer isso, vá para a página SSL/TLS em sua conta. Em seguida, você precisará alternar para a guia Certificados de Borda. Agora você precisará rolar para baixo e abrir a seção HSTS (HTTP Strict Transport Security). Agora prossiga para clicar no botão Ativar HSTS. Aqui você será solicitado a habilitar HTTPS em seu blog WordPress. Depois de fazer isso, você terá acesso aos cabeçalhos de segurança HTTP.