如何在 WordPress 中添加 HTTP 安全標頭

已發表: 2021-04-20

在設計 WordPress 網站時,沒有什麼是太安全了。 每一層安全都是進一步保證您和您客戶的信息將受到保護。 但是,不幸的是,一些安全措施可能會以不同的方式阻礙您。 理想情況下,您希望在不影響用戶體驗的情況下為您的網站添加額外的安全功能。 而且,事實證明,這正是 HTTP 安全標頭所提供的。 那麼,讓我們仔細看看如何在 WordPress 中添加 HTTP 安全標頭。

了解 HTTP 安全標頭

HTTP 安全標頭的主要用途是作為警告。 當訪問者訪問您的網站時,他們會收到來自您的服務器的 HTTP 標頭響應。 響應將告訴他們的瀏覽器是否有任何錯誤代碼、緩存控制和其他各種方面。 如果一切正常,標頭響應將發出 HTTP 200 狀態。 收到此信息後,用戶的瀏覽器將亮起綠燈來加載您的網站。 但是,如果有任何困難,用戶將獲得不同的標題。 常見示例是 500 內部服務器錯誤,或 404 未找到錯誤。

404 以塊形式寫入。
404 錯誤相當普遍。

HTTP 安全標頭是您的服務器可以發送的一種標頭。 它們用於警告瀏覽器有關跨站點腳本、暴力攻擊、點擊劫持和各種其他安全威脅。 最常見的 HTTP 安全標頭類型是:

  • HTTP 嚴格傳輸安全 (HSTS) – 此標頭通知用戶瀏覽器您的網站使用 HTTPS。
  • X-XSS 保護- 此標頭阻止跨站點腳本。
  • X-Frame-Options – 此標頭可防止點擊劫持和跨域 iframe。
  • X-Content-Type-Options - 此標頭阻止 mime 類型嗅探。

如您所見,安全標頭可以在您的網站安全性方面發揮重要作用。 因此,除此之外,讓我們看看可以將 HTTP 安全標頭合併到您的網站中的幾種方法。

在 WordPress 中添加 HTTP 安全標頭

設置 HTTP 安全標頭的最佳方法是在 Web 服務器級別。 通過這樣做,您將確保它們在 HTTP 請求開始時被觸發,從而提供最大程度的安全性。 而且,您不必擔心為不同的登錄頁面這樣做,因為標題是在服務器級別設置的。 另一種選擇是使用 DSN 級別的網站防火牆。 在此級別上進行設置通常被認為更容易,但在安全措施方面可能會出現問題。 不過,我們將介紹這兩種方法以及如何應用它們。

使用 WordPress 插件

與大多數關於 WordPress 的情況一樣,使用插件是更改某些內容的最簡單方法。 幸運的是,HTTP 安全標頭也不例外。 首先要做的是安裝重定向插件。 安裝並激活它後,您將看到一個設置嚮導。 只需按照其說明進行設置。 完成後,轉到“工具”->“重定向”頁面,然後切換到“站點”選項卡。 在那裡,您需要向下滾動到底部,然後單擊“添加標題”。 在顯示的下拉菜單中,您可以選擇“添加安全預設”選項。 通過這樣做,您將看到一個 HTTP 安全標頭列表。 然後,您可以查看和更改標題(如果需要),最後在您的網站上實施它們。 完成後請記住單擊“更新”按鈕。

WordPress 中的安全選項卡。
雖然您應該在 WordPress 中添加 HTTP 安全標頭,但您知道您需要其他插件來確保您的網站安全。

使用 .htaccess

現在讓我們遠離普通的插件,讓我們探索一些更複雜的方法。 以下方法將允許您在服務器級別設置 HTTP 安全標頭。 也就是說,您要做的是更改您網站上的 .htaccess 文件。 Apache 網絡服務器軟件最常使用此文件進行服務器配置。 要更改它,您可以使用 FTP 客戶端,或前往主機控制面板並使用文件管理器應用程序。 您將在網站的根文件夾中找到 .htaccess 文件。 完成後,右鍵單擊它並選擇編輯。

這樣做將打開文本編輯器。 在其中,您需要向下滾動到底部並添加將實現 HTTP 安全標頭的代碼。 當涉及到您想要實現的標頭時,會有一些變化。 因此,您應該更深入地挖掘以找出最適合您的標題。 以下代碼是一個很好的起點,因為它包含最常用的標頭:

<ifModule mod_headers.c>
標頭集 Strict-Transport-Security “max-age=31536000” env=HTTPS
標頭集 X-XSS-Protection “1; 模式=塊”
標頭集 X-Content-Type-Options nosniff
標頭集 X-Frame-Options DENY
標頭集 Referrer-Policy: no-referrer-when-downgrade
</ifModule>

只需記住在復制代碼後保存更改。

一台連接到不同國家網站的筆記本電腦,表明需要在 WordPress 中添加 HTTP 安全標頭。
服務器級別的安全措施很難被擊敗。

使用 Cloudflare

在處理網站時,Cloudfare 是一個相當不錯的工具。 通過使用它,您將擁有一個基本的防火牆,足以保護您免受機器人和標準惡意軟件的攻擊。 您將擁有 CDN 服務。 不幸的是,它的免費版本可能有點缺乏。 所以,如果你最終喜歡它,你可能需要選擇一個高級的。

Cloudfare 的另一個用途是您可以在 WordPress 中添加 HTTP 安全標頭。 為此,您首先需要安裝並激活它。 完成後,前往您帳戶下的 SSL/TLS 頁面。 然後,您需要切換到 Edge Certificates 選項卡。 現在您需要向下滾動並打開 HSTS(HTTP 嚴格傳輸安全)部分。 現在繼續單擊啟用 HSTS 按鈕。 在這裡,您將被要求在您的 WordPress 博客上啟用 HTTPS。 完成此操作後,您將可以訪問 HTTP 安全標頭。