วิธีเพิ่ม HTTP Security Headers ใน WordPress

เผยแพร่แล้ว: 2021-04-20

เมื่อพูดถึงการออกแบบเว็บไซต์ WordPress ไม่มีสิ่งใดที่ปลอดภัยเกินไป ความปลอดภัยทุกชั้นเป็นการรับประกันเพิ่มเติมว่าข้อมูลของคุณและลูกค้าของคุณจะยังคงได้รับการคุ้มครอง แต่น่าเสียดายที่ มาตรการด้านความปลอดภัยบางอย่างสามารถขัดขวางคุณได้หลายวิธี ตามหลักการแล้ว คุณต้องการเพิ่มคุณลักษณะด้านความปลอดภัยเพิ่มเติมให้กับเว็บไซต์ของคุณโดยไม่กระทบต่อประสบการณ์ของผู้ใช้ และตามที่ปรากฏ นั่นคือสิ่งที่ส่วนหัวความปลอดภัย HTTP นำเสนอ มาดูวิธีเพิ่มส่วนหัวความปลอดภัย HTTP ใน WordPress กันดีกว่า

ทำความเข้าใจส่วนหัวความปลอดภัย HTTP

การใช้งานหลักของส่วนหัวความปลอดภัย HTTP นั้นเป็นคำเตือน เมื่อผู้เข้าชมมาที่เว็บไซต์ของคุณ พวกเขาจะได้รับการตอบกลับส่วนหัว HTTP จากเซิร์ฟเวอร์ของคุณ การตอบสนองจะบอกเบราว์เซอร์ว่ามีรหัสข้อผิดพลาด การควบคุมแคช และด้านอื่นๆ หรือไม่ หากทุกอย่างเรียบร้อย การตอบกลับส่วนหัวจะแสดงสถานะ HTTP 200 เมื่อได้รับสิ่งนี้ เบราว์เซอร์ของผู้ใช้จะมีไฟเขียวให้โหลดเว็บไซต์ของคุณ แต่ถ้ามีปัญหาใด ๆ ผู้ใช้จะได้รับส่วนหัวที่แตกต่างกัน ตัวอย่างทั่วไปคือ 500 ข้อผิดพลาดเซิร์ฟเวอร์ภายใน หรือข้อผิดพลาด 404 ไม่พบ

404 เขียนเป็นบล็อก — ข้อผิดพลาด 404 เป็นเรื่องปกติธรรมดา

ส่วนหัวความปลอดภัย HTTP เป็นส่วนหัวประเภทหนึ่งที่เซิร์ฟเวอร์ของคุณสามารถส่งได้ พวกเขาทำหน้าที่เตือนเบราว์เซอร์เกี่ยวกับการเขียนสคริปต์ข้ามไซต์ การโจมตีแบบเดรัจฉาน การคลิกแจ็ค และภัยคุกคามความปลอดภัยอื่นๆ ส่วนหัวความปลอดภัย HTTP ที่พบบ่อยที่สุดคือ:

HTTP Strict Transport Security (HSTS) – ส่วนหัวนี้แจ้งเบราว์เซอร์ของผู้ใช้ว่าเว็บไซต์ของคุณใช้ HTTPS
การป้องกัน X-XSS – ส่วนหัวนี้บล็อกการเขียนสคริปต์ข้ามไซต์
X-Frame-Options – ส่วนหัวนี้ป้องกันการคลิกแจ็คและ iframes ข้ามโดเมน
X-Content-Type-Options – ส่วนหัวนี้บล็อกการดมกลิ่นประเภท mime

อย่างที่คุณเห็น ส่วนหัวความปลอดภัยสามารถมีบทบาทสำคัญในความปลอดภัยของเว็บไซต์ของคุณ ด้วยวิธีดังกล่าว มาดูวิธีที่คุณสามารถรวมส่วนหัวความปลอดภัย HTTP ไว้ในเว็บไซต์ของคุณได้สองสามวิธี

เพิ่มส่วนหัวความปลอดภัย HTTP ใน WordPress

วิธีที่ดีที่สุดในการตั้งค่าส่วนหัวความปลอดภัย HTTP อยู่ที่ระดับเว็บเซิร์ฟเวอร์ การทำเช่นนี้ จะทำให้แน่ใจได้ว่ามีการทริกเกอร์เมื่อเริ่มต้นคำขอ HTTP และให้ความปลอดภัยสูงสุด และคุณไม่จำเป็นต้องกังวลเกี่ยวกับการทำเช่นนั้นสำหรับหน้า Landing Page ต่างๆ เนื่องจากส่วนหัวถูกตั้งค่าไว้ที่ระดับเซิร์ฟเวอร์ อีกทางเลือกหนึ่งคือใช้ไฟร์วอลล์เว็บไซต์ระดับ DSN การตั้งค่าในระดับนี้โดยปกติถือว่าง่ายกว่า แต่อาจเป็นปัญหาได้เมื่อใช้มาตรการด้านความปลอดภัย อย่างไรก็ตาม เราจะพูดถึงทั้งสองวิธีและวิธีการใช้

การใช้ปลั๊กอิน WordPress

เช่นเดียวกับกรณีส่วนใหญ่เกี่ยวกับ WordPress การใช้ปลั๊กอินเป็นวิธีที่ง่ายที่สุดในการเปลี่ยนแปลงบางสิ่ง โชคดีที่ส่วนหัวความปลอดภัย HTTP ก็ไม่มีข้อยกเว้น สิ่งแรกที่ต้องทำคือติดตั้งปลั๊กอิน Redirection เมื่อคุณติดตั้งและเปิดใช้งาน คุณจะเห็นวิซาร์ดการตั้งค่า เพียงทำตามคำแนะนำเพื่อตั้งค่า เมื่อเสร็จแล้วให้ไปที่หน้าเครื่องมือ -> การเปลี่ยนเส้นทางแล้วสลับไปที่แท็บ "ไซต์" คุณต้องเลื่อนลงไปด้านล่างและคลิกที่ "เพิ่มส่วนหัว" ในเมนูแบบเลื่อนลงที่แสดงคุณสามารถเลือกตัวเลือก "เพิ่มการตั้งค่าความปลอดภัย" เมื่อทำเช่นนั้น คุณจะเห็นรายการส่วนหัวความปลอดภัย HTTP จากนั้น คุณสามารถตรวจสอบและเปลี่ยนส่วนหัวได้ (หากจำเป็น) และสุดท้ายนำไปใช้บนเว็บไซต์ของคุณ อย่าลืมคลิกปุ่ม "อัปเดต" เมื่อคุณทำเสร็จแล้ว

แท็บความปลอดภัยใน WordPress — ในขณะที่คุณควรเพิ่มส่วนหัวความปลอดภัย HTTP ใน WordPress รู้ว่าคุณจะต้องมีปลั๊กอินอื่น ๆ เพื่อให้เว็บไซต์ของคุณปลอดภัย

การใช้ .htaccess

ตอนนี้เราเลิกใช้ปลั๊กอินทั่วไปแล้ว มาสำรวจวิธีการบางอย่างที่ซับซ้อนกว่านี้กัน วิธีการต่อไปนี้จะอนุญาตให้คุณตั้งค่าส่วนหัวความปลอดภัย HTTP ในระดับเซิร์ฟเวอร์ กล่าวคือ สิ่งที่คุณจะทำคือ แก้ไขไฟล์ .htaccess ในเว็บไซต์ของคุณ ซอฟต์แวร์เว็บเซิร์ฟเวอร์ Apache มักใช้ไฟล์นี้สำหรับการกำหนดค่าเซิร์ฟเวอร์ หากต้องการแก้ไข คุณสามารถใช้ไคลเอ็นต์ FTP หรือไปที่แผงควบคุมการโฮสต์และใช้แอปตัวจัดการไฟล์ คุณจะพบไฟล์ .htaccess ในโฟลเดอร์รูทของเว็บไซต์ของคุณ เมื่อคุณทำเสร็จแล้ว คุณคลิกขวาที่มันแล้วเลือกแก้ไข

เพื่อเปิดเท็กซ์เอดิเตอร์ ในนั้นคุณต้องเลื่อนลงไปด้านล่างและเพิ่มรหัสที่จะใช้ส่วนหัวความปลอดภัย HTTP มีความหลากหลายเมื่อพูดถึงส่วนหัวที่คุณต้องการนำไปใช้ ดังนั้น คุณควรเจาะลึกลงไปอีกเล็กน้อยเพื่อหาว่าส่วนหัวใดที่เหมาะสมที่สุดสำหรับคุณ โค้ดต่อไปนี้เป็นจุดเริ่มต้นที่ดี เนื่องจากมีส่วนหัวที่ใช้บ่อยที่สุด:

<ifModule mod_headers.c>
ชุดส่วนหัว Strict-Transport-Security “max-age=31536000” env=HTTPS
ชุดส่วนหัว X-XSS-Protection “1; โหมด = บล็อก”
ชุดส่วนหัว X-Content-Type-Options nosniff
ชุดส่วนหัว X-Frame-Options DENY
ชุดส่วนหัว นโยบายผู้อ้างอิง: ไม่มีผู้อ้างอิงเมื่อดาวน์เกรด
</ifModule>

อย่าลืมบันทึกการเปลี่ยนแปลงของคุณเมื่อคุณคัดลอกโค้ดแล้ว

แล็ปท็อปที่เชื่อมต่อกับเว็บไซต์ในประเทศต่างๆ แสดงให้เห็นความจำเป็นในการเพิ่มส่วนหัวความปลอดภัย HTTP ใน WordPress — มาตรการความปลอดภัยในระดับเซิร์ฟเวอร์ค่อนข้างยากที่จะเอาชนะ

การใช้ Cloudflare

เมื่อพูดถึงการจัดการเว็บไซต์ Cloudfare เป็นเครื่องมือที่ดีทีเดียว เมื่อใช้งาน คุณจะมีไฟร์วอลล์พื้นฐาน ซึ่งมากเกินพอที่จะปกป้องคุณจากบอทและการโจมตีของมัลแวร์มาตรฐาน และคุณจะมีบริการ CDN น่าเสียดาย ที่เวอร์ชันฟรีอาจขาดไปเล็กน้อย ดังนั้น หากคุณชอบมัน คุณอาจต้องเลือกแบบพรีเมียม

การใช้ Cloudfare อีกประการหนึ่งคือคุณสามารถเพิ่มส่วนหัวความปลอดภัย HTTP ใน WordPress ในการดำเนินการดังกล่าว คุณจะต้องติดตั้งและเปิดใช้งานก่อน เมื่อคุณทำเสร็จแล้ว ให้ไปที่หน้า SSL/TLS ใต้บัญชีของคุณ จากนั้นคุณจะต้องสลับไปที่แท็บ Edge Certificates ตอนนี้ คุณจะต้องเลื่อนลงและเปิดส่วน HSTS (HTTP Strict Transport Security) ตอนนี้ให้คลิกที่ปุ่มเปิดใช้งาน HSTS ที่นี่ คุณจะถูกขอให้เปิดใช้งาน HTTPS บนบล็อก WordPress ของคุณ เมื่อคุณทำเช่นนั้น คุณจะสามารถเข้าถึงส่วนหัวความปลอดภัย HTTP