HTTP平安标头目的是为WordPress网站添加分外的平安层。它们可以辅助阻止常见的恶意行为影响网站平安及性能。
在本教程中,我们将详细先容如何在WordPress中添加HTTP平安标头。
什么是HTTP平安标头?
HTTP平安标头是一种平安措施,在影响您的网站之前阻止一些常见的平安威胁。
基本上,当用户接见您的网站时,Web服务器会将HTTP标头响应发送回客户端浏览器。该响应告诉浏览器有关错误代码,缓存控制和其他状态的信息。
正常的标头响应会发出状态为HTTP 200的新闻。往后,用户的浏览器就会加载您的网站内容。然则,若是您的网站泛起问题,则您的网络服务器可能会发送其他HTTP标头。
例如,它可能会发送503服务器不能用错误或400错误代码。
HTTP平安标头是这些标头的子集,用于防止网站遭受常见的威胁,例如点击挟制,跨站点剧本,暴力攻击等。
下面让我们浏览一下常见HTTP平安标头以及它们如何珍爱您的网站。
HTTP严酷传输平安协议(HSTS)
HTTP严酷传输平安(HSTS)标头告诉Web浏览器您的网站使用HTTPS,而且不应使用HTTP这样的不平安协议进行加载。
设置HSTS(HTTP严酷传输平安协议)响应标头,以强制浏览器始终在您的站点上使用HTTPS而不是HTTP。 当浏览器接见您的站点并吸收
Strict-Transport-Security响应标头时,它告诉浏览器将对所有未来
http://站点的URL请求转换为
https://请求。标头可以包罗以下选项:1)
max-age=<seconds>说明应遵照若干秒的HSTS战略 2)
includeSubDomains说明将战略应用于所有子域。例如,
Strict-Transport-Security: max-age=31536000; includeSubDomains告诉浏览器一年内所有子域都使用HTTPS。Warning: 从
max-age较小值最先直到您确保可以管理站点的HTTPS设置为止。事实若是在通过HTTPS加载页面时遇到问题,在没有解决问题之前用户将无法接见您的网站。
若是您已将WordPress网站从HTTP移至HTTPs,则此平安标头可强制浏览器通过HTTPS加载网站。
X-XSS珍爱
X-XSS Protection标头允许您阻止跨站点剧本加载到WordPress网站上。
X-Frame-Options
X-Frame-Options平安标头可防止跨域iframe或点击挟制。
通过限制将网页嵌入到iframe中来防止点击挟制攻击。 点击挟制攻击者在其控制的网站上的iframe中显示页面。例如,攻击者可能会在iframe上笼罩一个UI层,以诱骗接见者在页面上触发操作以及笼罩表单字段以窃取数据。点击挟制常见用于社交分享链接,点击广告和窃取密码。使用
X-Frame-Options响应标头来限制主机嵌入页面,从而抵御这些攻击。可能的选项是1)
DENY限制所有URL 2)
SAMEORIGIN仅允许来自与页面相同泉源的URL 3)
ALLOW-FROM允许来自特定泉源。例如,
X-Frame-Options: DENY将阻止所有iframe使用。您应该使用尽可能严酷的设置。
X-Content-Type-Options
X-Content-Type-Options阻止内容mime类型的嗅探。
为WordPress添加HTTP平安标头
在网络服务器级别设置,HTTP平安标头事情效果最佳。这使它们可以在典型的HTTP请求中尽早触发,并提供最大的收益。
若是您使用的是DNS级其余网站应用程序防火墙(如Sucuri或Cloudflare),它们甚至会更好。下面我们将先容每种方式,您可以选择最适合自己的一种。
- 使用Sucuri添加HTTP平安标头
- 使用Cloudflare添加HTTP平安标头
- 使用.htaccess添加HTTP平安标头
- 使用WordPress插件添加HTTP平安标头
- 测试HTTP平安标头
1.使用Sucuri添加HTTP平安标头
Sucuri是市场上最好的WordPress平安插件。若是您还使用他们的网站防火墙服务,则可以设置HTTP平安标头,而无需编写任何代码。
首先,您需要注册一个Sucuri帐户。它是一项付费服务,带有服务器级网站防火墙,平安插件,CDN和恶意软件祛除保证。
在注册历程中,您需回覆简朴的问题,Sucuri文档将辅助您在网站上设置网站应用程序防火墙。
注册后,您需要安装并启用免费的Sucuri插件。
启用后,转到Sucuri Security » Firewall (WAF)页面,然后输入防火墙API密钥,您可以在Sucuri网站帐户下找到此信息。
接下来,切换到Sucuri帐户仪表盘。在此处,单击顶部的“Settings”菜单,然后切换到“Security”选项卡。
在这里,您可以选择三种规则。默认珍爱为HSTS和HSTS Full。您将看到哪些HTTP平安标头将应用于每组规则。
选择你需要的平安规则,点击“Save Changes in The Additional Headers”按钮以应用更改。
Sucuri现在将在WordPress中添加您选择的HTTP平安标头。由于它是DNS级其余WAF,因此在黑客到达您的网站之前,也可以珍爱您的网站流量免受黑客的攻击。
使用Workers自界说CDN缓存战略取代Cloudflare Page Rule
2.使用Cloudflare添加HTTP平安标头
Cloudflare提供了基本的免费网站防火墙和CDN服务。它的免费套餐中缺少高级平安功效,需要升级到价钱更高的专业设计才可以实现高级别网站防护。
要在您的网站上添加Cloudflare,请参阅有关如何在WordPress中添加Cloudflare免费CDN的教程。
一旦Cloudflare在您的网站上处于流动状态,请转到Cloudflare帐户信息中央下的SSL/TLS页面,然后切换到“Edge Certificates”选项卡。
现在,向下转动到“HTTP Strict Transport Security (HSTS) ”部门,然后单击“Enable HSTS”按钮。
这将弹出一个弹出窗口,其中包罗说明,告诉您在使用此功效之前必须在WordPress博客上启用HTTPS 。单击下一步按钮继续,您将看到添加HTTP平安标头的选项。
在这里,您可以启用HSTS,no-sniff标头,将HSTS应用于子域(若是它们使用的是HTTPS)并预加载HSTS。
此方式使用HTTP平安标头提供基本珍爱。然则,它不允许您添加X-Frame-Options,而且Cloudflare没有用户界面可以执行此操作。
您仍然可以通过使用Workers功效确定脚原本做到这一点。然则,确定HTTPS平安标头剧本可能会给初学者带来意外的问题,一样平常不推荐这样做。
3.使用.htaccess添加HTTP平安标头
此方式允许您在服务器级别为WordPress网站设置HTTP平安标头。
它要求您编辑网站上的.htaccess文件(找不到htaccess?)。它是最常用的Apache Web服务器软件使用的服务器设置文件。
只需使用FTP客户端或托管服务器控制面板中的文件管理器应用程序毗邻到您的网站。在网站的根文件夹中,找到.htaccess文件并进行编辑。
在文件底部,您可以添加代码以将HTTPS平安标头添加到WordPress网站。
您可以参考以下示例代码,这是最常用也是最佳的HTTPs平安标头设置:
<ifModule mod_headers.c> Header set Strict-Transport-Security "max-age=31536000" env=HTTPS Header set X-XSS-Protection "1; mode=block" Header set X-Content-Type-Options nosniff Header set X-Frame-Options DENY Header set Referrer-Policy: no-referrer-when-downgrade </ifModule>
不要遗忘保留更改并接见网站,以确保一切正常。
注重:错误的题目或.htaccess文件中的冲突可能会在大多数Web主机上触发500内部服务器错误。
4.使用WordPress插件添加HTTP平安标头
这种方式效果不佳,由于它依赖WordPress插件来修改标头。然则,这也是为WordPress网站添加HTTP平安标头的最简朴方式。
首先,您需要安装并启用 Redirection 插件。
启用插件后,将进入插件设置向导,您可以根据该向导进行设置。之后,转到 Tools » Redirection 页面,然后切换到“Site”选项卡。
接下来,需要向下转动到页面底部的“HTTP Headers”部门,然后点击“Add Header”按钮。从下拉菜单中,您需要选择“Add Security Presets”选项。
之后,您将需要再次点击以添加这些选项。然后,您会看到一个HTTP平安标头的预设列表泛起在表中。
这些标头针对平安性进行了优化,您可以对其进行查看并在需要时进行更改。完成后,请不要遗忘点击“Update”按钮以保留更改。
最后,接见您的网站,以确保一切正常。
如何检查网站的HTTP平安标头
将HTTP平安标头添加到您的WordPress网站后,您可以使用免费的“Security Headers”工具测试设置是否准确。只需输入您的网站URL,然后单击“Scan”按钮。
然后它将检查您网站的HTTP平安标头,并反馈讲述。该工具将天生一个所谓的评分标签,您可以忽略该标签,由于大多数网站最多会获得B或C评分,这一样平常不会影响用户体验。
它将详细显示您的网站发送了哪些HTTP平安标头,而且不包罗哪些平安标头。若是您要设置的平安标头在此处列出,则说明您已完成。
希望本教程能辅助您学会如何在WordPress网站中添加HTTP平安标头。
如何在WordPress网站设置亚马逊广告投放