Cum să adăugați anteturi de securitate HTTP în WordPress

Publicat: 2021-04-20

Când vine vorba de proiectarea unui site web WordPress, nu există așa ceva ca să fii prea sigur. Fiecare nivel de siguranță este o garanție suplimentară că informațiile dvs. și ale clienților dvs. vor rămâne protejate. Dar, din păcate, unele măsuri de siguranță vă pot împiedica în diferite moduri . În mod ideal, doriți să adăugați funcții suplimentare de siguranță site-ului dvs. fără a pune în pericol experiența utilizatorului. Și, după cum se dovedește, asta este exact ceea ce oferă anteturile de securitate HTTP. Deci, să aruncăm o privire mai atentă la cum să adăugați anteturi de securitate HTTP în WordPress.

Înțelegerea antetelor de securitate HTTP

Principala utilizare a antetelor de securitate HTTP este ca un avertisment. Când un vizitator vine pe site-ul dvs. web, acesta va primi un răspuns de antet HTTP de la serverul dvs. . Răspunsul va spune browserului lor dacă există coduri de eroare, controlul cache-ului și diverse alte aspecte. Dacă totul este în regulă, răspunsul antet va emite o stare HTTP 200. Primind aceasta, browserul utilizatorului va avea lumină verde pentru a vă încărca site-ul. Dar, dacă există dificultăți, utilizatorul va primi un antet diferit. Exemplele obișnuite sunt 500 de erori interne ale serverului sau o eroare 404 negăsit.

404 scris în blocuri.
Eroarea 404 este destul de comună.

Antetele de securitate HTTP sunt un tip de antet pe care serverul dumneavoastră îl poate trimite. Acestea servesc pentru a avertiza browserele despre cross-site scripting, atacuri de forță brută, click-jacking și diverse alte amenințări de securitate. Cele mai comune tipuri de anteturi de securitate HTTP sunt:

  • HTTP Strict Transport Security (HSTS) – Acest antet informează browserul utilizatorului că site-ul dvs. web utilizează HTTPS.
  • Protecție X-XSS – Acest antet blochează scripturile între site-uri.
  • X-Frame-Options – Acest antet previne click-jacking-urile și iframe-urile între domenii.
  • X-Content-Type-Options – Acest antet blochează sniffing-ul de tip mime.

După cum puteți vedea, anteturile de securitate pot juca un rol important în cât de sigur este site-ul dvs. Așadar, cu asta în afara drumului, să vedem câteva moduri în care puteți încorpora antete de securitate HTTP în site-ul dvs. web.

Adăugați anteturi de securitate HTTP în WordPress

Cel mai bun mod de a seta anteturile de securitate HTTP este la nivel de server web. Procedând astfel, vă veți asigura că acestea sunt declanșate la începutul unei solicitări HTTP și, prin urmare, vă veți oferi cea mai mare siguranță. Și, nu va trebui să vă faceți griji pentru a face acest lucru pentru diferite pagini de destinație, deoarece anteturile sunt setate la nivel de server. Cealaltă opțiune este să utilizați un firewall pentru site-uri la nivel de DSN. Configurarea la acest nivel este de obicei considerată mai ușoară, dar poate fi problematică când vine vorba de măsuri de siguranță. Cu toate acestea, vom analiza ambele metode și cum să le aplicăm.

Folosind un plugin WordPress

Așa cum este în majoritatea cazurilor referitoare la WordPress, utilizarea unui plugin este cea mai ușoară modalitate de a schimba ceva. Din fericire, anteturile de securitate HTTP nu fac excepție. Primul lucru de făcut este să instalați pluginul de redirecționare. Odată ce îl instalați și îl activați, veți vedea un expert de configurare. Pur și simplu urmați instrucțiunile sale pentru a-l configura. După ce ați terminat, accesați pagina Instrumente -> Redirecționare și treceți la fila „Site”. Acolo trebuie să derulați în jos în jos și să faceți clic pe „Adăugați antet”. În meniul derulant care arată, puteți alege opțiunea „Adăugați setări de securitate”. Procedând astfel, vi se va prezenta o listă de anteturi de securitate HTTP . Puteți apoi să revizuiți și să modificați anteturile (dacă este necesar) și, în sfârșit, să le implementați pe site-ul dvs. web. Nu uitați să faceți clic pe butonul „Actualizare” după ce ați terminat.

Fila de securitate în WordPress.
Deși ar trebui să adăugați anteturi de securitate HTTP în WordPress, știți că veți avea nevoie de alte pluginuri pentru a vă păstra site-ul în siguranță.

Folosind .htaccess

Acum să ne depărtăm de pluginurile comune și să explorăm câteva metode care sunt puțin mai complicate. Următoarea metodă vă va permite să setați anteturile de securitate HTTP la nivel de server. Și anume, ceea ce veți face este să modificați fișierul .htaccess de pe site-ul dvs. web . Software-ul de server web Apache utilizează cel mai frecvent acest fișier pentru configurarea serverului. Pentru a o modifica, puteți fie să utilizați un client FTP, fie să mergeți la panoul de control al găzduirii și să utilizați aplicația de gestionare a fișierelor . Veți găsi fișierul .htaccess în folderul rădăcină al site-ului dvs. web. După ce ați făcut-o, faceți clic dreapta pe el și selectați Editați.

Procedând astfel, se va deschide editorul de text. În el, trebuie să derulați în jos și să adăugați codul care va implementa anteturile de securitate HTTP. Există o oarecare varietate când vine vorba de anteturile pe care doriți să le implementați. Prin urmare, ar trebui să săpați puțin mai adânc pentru a vă da seama care antete sunt cele mai potrivite pentru dvs. Următorul cod este un bun punct de plecare, deoarece conține cele mai frecvent utilizate anteturi:

<ifModule mod_headers.c>
Set antet Strict-Transport-Security „max-age=31536000” env=HTTPS
Set antet X-XSS-Protecție „1; mod=blocare”
Setul antet X-Content-Type-Options nosniff
Set antet X-Frame-Opțiuni DENY
Setul de antet Politică referitor: fără referință atunci când downgrade
</ifModule>

Nu uitați să salvați modificările după ce ați copiat codul.

Un laptop conectat la site-uri web din diferite țări, care arată necesitatea de a adăuga anteturi de securitate HTTP în WordPress.
Măsurile de securitate la nivel de server sunt destul de greu de învins.

Folosind Cloudflare

Când vine vorba de gestionarea unui site web, Cloudfare este un instrument destul de decent. Folosind-o, veți avea un firewall de bază, care este mai mult decât suficient pentru a vă proteja de roboți și de atacurile malware standard. Și veți avea un serviciu CDN. Din păcate, poate lipsi puțin în versiunea sa gratuită . Așadar, dacă ajungi să-ți placă, s-ar putea să trebuiască să optezi pentru unul premium.

O altă utilizare a Cloudfare este că puteți adăuga anteturi de securitate HTTP în WordPress. Pentru a face acest lucru, mai întâi va trebui să îl instalați și să îl activați. După ce ați făcut-o, mergeți la pagina SSL/TLS din contul dvs. Apoi va trebui să comutați la fila Certificate Edge. Acum va trebui să derulați în jos și să deschideți secțiunea HSTS (HTTP Strict Transport Security). Acum continuați să faceți clic pe butonul Activare HSTS. Aici vi se va cere să activați HTTPS pe blogul dvs. WordPress. Odată ce faceți acest lucru, veți avea acces la anteturile de securitate HTTP.