如何在 WordPress 中添加 HTTP 安全标头

已发表: 2021-04-20

在设计 WordPress 网站时,没有什么是太安全了。 每一层安全都是进一步保证您和您客户的信息将受到保护。 但是,不幸的是,一些安全措施可能会以不同的方式阻碍您。 理想情况下,您希望在不影响用户体验的情况下为您的网站添加额外的安全功能。 而且,事实证明,这正是 HTTP 安全标头所提供的。 那么,让我们仔细看看如何在 WordPress 中添加 HTTP 安全标头。

了解 HTTP 安全标头

HTTP 安全标头的主要用途是作为警告。 当访问者访问您的网站时,他们会收到来自您的服务器的 HTTP 标头响应。 响应将告诉他们的浏览器是否有任何错误代码、缓存控制和其他各种方面。 如果一切正常,标头响应将发出 HTTP 200 状态。 收到此信息后,用户的浏览器将亮起绿灯来加载您的网站。 但是,如果有任何困难,用户将获得不同的标题。 常见示例是 500 内部服务器错误,或 404 未找到错误。

404 以块形式写入。
404 错误相当普遍。

HTTP 安全标头是您的服务器可以发送的一种标头。 它们用于警告浏览器有关跨站点脚本、暴力攻击、点击劫持和各种其他安全威胁。 最常见的 HTTP 安全标头类型是:

  • HTTP 严格传输安全 (HSTS) – 此标头通知用户浏览器您的网站使用 HTTPS。
  • X-XSS 保护- 此标头阻止跨站点脚本。
  • X-Frame-Options – 此标头可防止点击劫持和跨域 iframe。
  • X-Content-Type-Options - 此标头阻止 mime 类型嗅探。

如您所见,安全标头可以在您的网站安全性方面发挥重要作用。 因此,除此之外,让我们看看可以将 HTTP 安全标头合并到您的网站中的几种方法。

在 WordPress 中添加 HTTP 安全标头

设置 HTTP 安全标头的最佳方法是在 Web 服务器级别。 通过这样做,您将确保它们在 HTTP 请求开始时被触发,从而提供最大程度的安全性。 而且,您不必担心为不同的登录页面这样做,因为标题是在服务器级别设置的。 另一种选择是使用 DSN 级别的网站防火墙。 在此级别上进行设置通常被认为更容易,但在安全措施方面可能会出现问题。 不过,我们将介绍这两种方法以及如何应用它们。

使用 WordPress 插件

与大多数关于 WordPress 的情况一样,使用插件是更改某些内容的最简单方法。 幸运的是,HTTP 安全标头也不例外。 首先要做的是安装重定向插件。 安装并激活它后,您将看到一个设置向导。 只需按照其说明进行设置。 完成后,转到“工具”->“重定向”页面,然后切换到“站点”选项卡。 在那里,您需要向下滚动到底部,然后单击“添加标题”。 在显示的下拉菜单中,您可以选择“添加安全预设”选项。 通过这样做,您将看到一个 HTTP 安全标头列表。 然后,您可以查看和更改标题(如果需要),最后在您的网站上实施它们。 完成后请记住单击“更新”按钮。

WordPress 中的安全选项卡。
虽然您应该在 WordPress 中添加 HTTP 安全标头,但您知道您需要其他插件来确保您的网站安全。

使用 .htaccess

现在让我们远离普通的插件,让我们探索一些更复杂的方法。 以下方法将允许您在服务器级别设置 HTTP 安全标头。 也就是说,您要做的是更改您网站上的 .htaccess 文件。 Apache 网络服务器软件最常使用此文件进行服务器配置。 要更改它,您可以使用 FTP 客户端,或前往主机控制面板并使用文件管理器应用程序。 您将在网站的根文件夹中找到 .htaccess 文件。 完成后,右键单击它并选择编辑。

这样做将打开文本编辑器。 在其中,您需要向下滚动到底部并添加将实现 HTTP 安全标头的代码。 当涉及到您想要实现的标头时,会有一些变化。 因此,您应该更深入地挖掘以找出最适合您的标题。 以下代码是一个很好的起点,因为它包含最常用的标头:

<ifModule mod_headers.c>
标头集 Strict-Transport-Security “max-age=31536000” env=HTTPS
标头集 X-XSS-Protection “1; 模式=块”
标头集 X-Content-Type-Options nosniff
标头集 X-Frame-Options DENY
标头集 Referrer-Policy: no-referrer-when-downgrade
</ifModule>

只需记住在复制代码后保存更改。

一台连接到不同国家网站的笔记本电脑,表明需要在 WordPress 中添加 HTTP 安全标头。
服务器级别的安全措施很难被击败。

使用 Cloudflare

在处理网站时,Cloudfare 是一个相当不错的工具。 通过使用它,您将拥有一个基本的防火墙,足以保护您免受机器人和标准恶意软件的攻击。 您将拥有 CDN 服务。 不幸的是,它的免费版本可能有点缺乏。 所以,如果你最终喜欢它,你可能需要选择一个高级的。

Cloudfare 的另一个用途是您可以在 WordPress 中添加 HTTP 安全标头。 为此,您首先需要安装并激活它。 完成后,前往您帐户下的 SSL/TLS 页面。 然后,您需要切换到 Edge Certificates 选项卡。 现在您需要向下滚动并打开 HSTS(HTTP 严格传输安全)部分。 现在继续单击启用 HSTS 按钮。 在这里,您将被要求在您的 WordPress 博客上启用 HTTPS。 完成此操作后,您将可以访问 HTTP 安全标头。