Вы хотите добавить заголовки безопасности HTTP в WordPress? Заголовки безопасности HTTP позволяют добавить дополнительный уровень безопасности на сайт WordPress. С их помощью можно блокировать обычные вредоносные действия, которые не могут повлиять на работу сайта. В этом руководстве для начинающих мы покажем, как добавить заголовки безопасности HTTP в WordPress.
Что такое заголовки безопасности HTTP?
Заголовки безопасности HTTP – это мера безопасности, позволяющая серверу вашего сайта предотвратить некоторые распространенные угрозы безопасности до того, как они смогут повлиять на ваш сайт. Когда пользователь посещает ваш WordPress-сайт, ваш веб-сервер отправляет браузеру ответ с HTTP-заголовком. Этот ответ сообщает браузеру о кодах ошибок, контроле кэша и других статусах. Обычный ответ заголовка выдает статус HTTP 200. После этого ваш сайт загружается в браузере пользователя.
Однако если сайт загружается с трудом, то веб-сервер может послать другой заголовок HTTP. Например, он может послать сообщение о внутренней ошибке сервера 500 или код ошибки 404 “Не найдено”. Заголовки безопасности HTTP являются подмножеством этих заголовков. Они используются для защиты сайтов от таких распространенных угроз, как перехват кликов, межсайтовый скриптинг, атаки грубой силы и т.д.
Давайте рассмотрим некоторые заголовки безопасности HTTP и способы их защиты:
- HTTP Strict Transport Security (HSTS) сообщает браузерам, что ваш сайт использует протокол HTTPS и не должен загружаться по такому небезопасному протоколу, как HTTP.
- X-XSS Protection позволяет блокировать загрузку межсайтовых сценариев.
- X-Frame-Options предотвращает междоменные iframe или click-jacking.
- X-Content-Type-Options X-Content-Type-Options блокирует перехват mime-типа содержимого.
Заголовки безопасности HTTP лучше всего работают, когда они устанавливаются на уровне веб-сервера, то есть на уровне хостинга WordPress. Это позволяет им срабатывать на ранних этапах выполнения обычного HTTP-запроса и приносить максимальную пользу. Еще лучше они работают, если вы используете брандмауэр приложений сайта на уровне DNS, например Sucuri или Cloudflare. Итак, давайте рассмотрим, как легко добавить заголовки безопасности HTTP в WordPress. Здесь приведены краткие ссылки на различные методы, чтобы вы могли перейти к тому, который подходит именно вам:
Добавление заголовков безопасности HTTP в WordPress с помощью Sucuri
Sucuri – один из лучших плагинов безопасности WordPress на рынке. Если вы пользуетесь их службой межсетевого экрана, то можете установить заголовки безопасности HTTP без написания кода. Сначала необходимо зарегистрировать учетную запись Sucuri. Это платная услуга, которая включает в себя брандмауэр сайта на уровне сервера, плагин безопасности, CDN и гарантию удаления вредоносных программ.
При регистрации необходимо ответить на простые вопросы, а документация Sucuri поможет настроить брандмауэр приложений на вашем сайте. После регистрации необходимо установить и активировать бесплатный плагин Sucuri. Более подробную информацию можно найти в нашем пошаговом руководстве по установке плагина для WordPress. После активации необходимо перейти в раздел Sucuri Security ” Firewall (WAF) и ввести свой ключ Firewall API. Эту информацию можно найти в разделе “Ваша учетная запись” на сайте Sucuri.
После этого необходимо нажать зеленую кнопку “Сохранить”, чтобы сохранить изменения. Далее необходимо перейти на панель управления учетной записью Sucuri. Здесь щелкните на верхнем меню “Настройки”, а затем перейдите на вкладку “Безопасность”.
Здесь можно выбрать три набора правил. Защита по умолчанию хорошо подходит для большинства сайтов. Если у вас тарифный план Professional или Business, то вам также доступны варианты HSTS и HSTS Full. Вы можете увидеть, какие заголовки безопасности HTTP будут применяться для каждого набора правил.
Чтобы применить изменения, необходимо нажать кнопку ‘Сохранить изменения в дополнительных заголовках’. Теперь Sucuri добавит выбранные вами заголовки безопасности HTTP в WordPress. Поскольку это WAF на уровне DNS, трафик вашего сайта будет защищен от хакеров еще до того, как они достигнут вашего сайта.
Добавление заголовков безопасности HTTP в WordPress с помощью Cloudflare
Cloudflare предлагает базовый бесплатный брандмауэр для веб-сайтов и службу CDN. В бесплатном тарифном плане отсутствуют расширенные функции безопасности, поэтому необходимо перейти на тарифный план Pro, который стоит дороже. О том, как добавить Cloudflare на свой сайт, вы можете узнать из нашего руководства по настройке бесплатной CDN Cloudflare в WordPress. После того как Cloudflare будет активирована на вашем сайте, необходимо перейти на страницу SSL/TLS в панели управления учетной записи Cloudflare, а затем переключиться на вкладку “Edge Certificates”.
Теперь прокрутите страницу вниз до раздела ‘HTTP Strict Transport Security (HSTS)’. Найдя его, нажмите на кнопку ‘Enable HSTS’.
В результате появится всплывающее окно с инструкциями, сообщающими, что перед использованием этой функции на сайте должен быть включен HTTPS. Если ваш блог WordPress уже имеет защищенное HTTPS-соединение, то можно нажать кнопку “Далее”, чтобы продолжить. Появится возможность добавить заголовки безопасности HTTP.
Здесь можно включить HSTS, применить HSTS к поддоменам (если поддомены используют HTTPS), предварительно загрузить HSTS и включить заголовок no-sniff. Этот метод обеспечивает базовую защиту с помощью заголовков безопасности HTTP. Однако он не позволяет добавить X-Frame-Options, а у Cloudflare нет пользовательского интерфейса для этого. Вы можете сделать это, создав сценарий с помощью функции Cloudflare Workers. Однако мы не рекомендуем этого делать, поскольку создание сценария для заголовка безопасности HTTPS может вызвать неожиданные проблемы у новичков.
Добавление заголовков безопасности HTTP в WordPress с помощью .htaccess
Этот метод позволяет задать заголовки безопасности HTTP в WordPress на уровне сервера. Для этого необходимо отредактировать файл .htaccess на вашем сайте. Этот файл конфигурации сервера используется наиболее распространенным программным обеспечением веб-сервера Apache.
Примечание: Перед внесением изменений в файлы сайта рекомендуется сделать резервную копию.
Далее просто подключитесь к своему сайту с помощью FTP-клиента или файлового менеджера в панели управления хостингом. В корневой папке сайта необходимо найти файл .htaccess и отредактировать его.
В результате файл будет открыт в обычном текстовом редакторе. В нижней части файла вы можете добавить код для добавления заголовков безопасности HTTPS на ваш сайт WordPress. В качестве отправной точки можно использовать следующий пример кода. Он устанавливает наиболее часто используемые заголовки безопасности HTTP с оптимальными настройками:
<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>Не забудьте сохранить изменения и зайти на свой сайт, чтобы убедиться, что все работает как надо.
Примечание: Будьте осторожны при редактировании кода на своем сайте. Неправильные заголовки или конфликты в файле .htaccess могут привести к возникновению 500 Internal Server Error.
Добавление заголовков безопасности HTTP в WordPress с помощью AIOSEO
All in One SEO (AIOSEO) – это лучший SEO-инструмент для WordPress, которому доверяют более 3 млн. компаний. Этот плагин премиум-класса позволяет легко добавлять на сайт заголовки безопасности HTTP. Прежде всего, необходимо установить и активировать плагин AIOSEO на своем сайте. Подробнее об этом можно узнать из нашего пошагового руководства по настройке All in One SEO для WordPress. Затем необходимо перейти на страницу All in One SEO ” Redirects (Перенаправления), чтобы добавить заголовки безопасности HTTP. Сначала нужно нажать кнопку ‘Activate Redirects’, чтобы включить эту функцию.
После включения перенаправления необходимо перейти на вкладку ‘Full Site Redirect’, а затем прокрутить страницу вниз до раздела ‘Canonical Settings’. Просто включите переключатель ‘Canonical Settings’, а затем нажмите кнопку ‘Add Security Presets’.
В таблице появится заданный список заголовков безопасности HTTP. Эти заголовки оптимизированы для обеспечения безопасности. При необходимости их можно просмотреть и изменить.
Не забудьте нажать кнопку “Сохранить изменения” в верхней или нижней части экрана, чтобы сохранить заголовки безопасности. Теперь вы можете посетить свой сайт и убедиться, что все работает нормально.
Как проверить заголовки безопасности HTTP для сайта
Теперь, когда вы добавили заголовки HTTP Security на свой сайт, вы можете проверить свою конфигурацию с помощью бесплатного инструмента Security Headers. Просто введите URL-адрес своего сайта и нажмите на кнопку “Сканировать”.
Затем он проверит заголовки безопасности HTTP для вашего сайта и покажет отчет. Инструмент также выдаст так называемую оценку, которую можно игнорировать, поскольку большинство сайтов получат оценку B или C без ущерба для удобства пользователей. Он покажет, какие заголовки безопасности HTTP отправляются вашим сайтом, а какие не включены. Если заголовки безопасности, которые вы хотели установить, указаны в списке, то все готово. Мы надеемся, что эта статья помогла вам узнать, как добавить заголовки безопасности HTTP в WordPress.
