如何在 WordPress 中添加 HTTP 安全标头(初学者指南)



你想在 WordPress 中添加 HTTP 安全标头吗?

HTTP 安全标头允许你为 WordPress 网站添加额外的安全层。它们可以帮助阻止常见的恶意活动影响你的网站性能。

在本初学者指南中,我们将向你展示如何在 WordPress 中轻松添加 HTTP 安全标头。

在 WordPress 中添加 HTTP 安全标头

什么是 HTTP 安全标头?

HTTP 安全标头是一种安全措施,可让你网站的服务器在某些常见的安全威胁影响你的网站之前阻止它。

基本上,当用户访问你的网站时,你的网络服务器会将 HTTP 标头响应发送回他们的浏览器。此响应告诉浏览器有关错误代码、缓存控制和其他状态的信息。

正常的标头响应会发出一个称为 HTTP 200 的状态。之后,你的网站会在用户的浏览器中加载。但是,如果你的网站遇到问题,那么你的 Web 服务器可能会发送不同的 HTTP 标头。

例如,它可能会发送一个500 内部服务器错误,或 未找到 404 错误 代码。

HTTP 安全标头是这些标头的子集,用于防止网站遭受常见威胁,例如点击劫持、跨站点脚本、暴力攻击 等等。

让我们快速浏览一下 HTTP 安全标头的外观以及它们如何保护你的网站。

HTTP 严格传输安全 (HSTS)

HTTP 严格传输安全 (HSTS) 标头告诉 Web 浏览器你的网站使用 HTTP,不应使用 HTTP 等不安全协议加载。

如果你已移动 WordPress 网站从 HTTP 到 HTTPS,然后这个安全标头允许你阻止浏览器在 HTTP 上加载你的网站。

X-XSS 保护

X-XSS 保护标头允许你阻止跨站点脚本加载到你的 WordPress 网站

X-Frame-Options

X-Frame-Options 安全标头可防止跨域 iframe 或点击劫持。

X-Content-Type-Options

X-Content-Type-Options 阻止内容 mime 类型的嗅探。

话虽如此,让我们看看如何在 WordPress 中轻松添加 HTTP 安全标头。

在 WordPress 中添加 HTTP 安全标头

HTTP 安全标头在网络服务器级别设置时效果最佳(即你的 WordPress 托管 帐户)。这允许它们在典型的 HTTP 请求期间及早被触发,并提供最大的好处。

如果你使用 DNS 级别 网站应用程序防火墙,如 Sucuri 或 Cloudflare。我们将向你展示每种方法,你可以选择最适合你的方法。

这里有不同方法的快速链接,你可以跳转到适合你的方法。

1。使用 Sucuri 在 WordPress 中添加 HTTP 安全标头

Sucuri最佳 WordPress 安全插件在市场上。如果你也在使用他们的网站防火墙服务,那么你无需编写任何代码即可设置 HTTP 安全标头。

首先,你需要注册一个 Sucuri 帐户。这是一项付费服务​​,附带服务器级网站防火墙、安全插件、CDN 和恶意软件清除保证。

在注册期间,你将回答简单的问题,Sucuri 文档将帮助你在你的网站上设置网站应用程序防火墙。

注册后,你需要安装并激活免费的Sucuri 插件。有关更多详细信息,请参阅我们的分步指南 如何安装 WordPress 插件.

激活后,转到 Sucuri 安全 » 防火墙 (WAF) 页面并输入你的防火墙 API 密钥。你可以在 Sucuri 网站上的帐户下找到此信息。

Sucuri WAF API 密钥

单击“保存”按钮以存储你的更改。

接下来,你需要切换到 Sucuri 帐户仪表板。从这里,单击顶部的设置菜单,然后切换到安全选项卡。

设置HTTP安全头Sucuri 中的 rs p>

你可以从这里选择三组规则。默认保护、HSTS 和 HSTS Full。你将看到将为每组规则应用哪些 HTTP 安全标头。

单击“在附加标题中保存更改”按钮以应用你的更改。

就是这样, Sucuri 现在将在 WordPress 中添加你选择的 HTTP 安全标头。由于它是 DNS 级别的 WAF,因此你的网站流量甚至在黑客到达你的网站之前就受到保护。

2。使用 Cloudflare 在 WordPress 中添加 HTTP 安全标头

Cloudflare 提供基本的免费网站防火墙和 CDN 服务。它的免费计划缺少高级安全功能,因此你需要升级到他们的 Pro 计划,后者更昂贵。

要在你的网站上添加 Cloudflare,请参阅我们的教程,了解如何 在 WordPress 中添加 Cloudflare 免费 CDN

一旦 Cloudflare 在你的网站上处于活动状态,请转到你的 Cloudflare 帐户仪表板下的 SSL/TLS 页面,然后切换到边缘证书选项卡。

在 Cloudflare 中设置 HTTPS 安全标头

现在,向下滚动到 HTTP 严格传输安全 (HSTS) 部分,然后单击“启用 HSTS”按钮。

在 Cloudflare 上启用 HSTS

这将弹出一个带有说明的弹出窗口,告诉你必须在 WordPress 博客 以正确的方式创建一个 WordPress 博客。单击下一步按钮继续,你将看到添加 HTTP 安全标头的选项。

在 Cloudflare 中启用 HTTPS 安全标头

从这里,你可以启用 HSTS、no-sniff 标头、将 HSTS 应用到子域(如果它们使用 HTTPS)以及预加载 HSTS。

此方法使用 HTTP 安全标头提供基本保护。但是,它不允许你添加 X-Frame-Options,而且 Cloudflare 没有执行此操作的用户界面。

你仍然可以通过使用 Workers 功能创建脚本来做到这一点。但是,创建 HTTPS 安全标头脚本可能会给初学者带来意想不到的问题,这就是我们不推荐它的原因。

3。使用.htaccess 在 WordPress 中添加 HTTP 安全标头

此方法允许你在服务器级别设置 WordPress 中的 HTTP 安全标头。

它需要你在你的网站上编辑 .htaccess 文件。它是最常用的 Apache 网络服务器软件使用的服务器配置文件。

只需连接到你的网站 使用 FTP 客户端,或主机控制面板中的文件管理器应用程序。在你网站的根文件夹中,你需要找到.htaccess 文件并对其进行编辑。

在 WordPress 中编辑.htaccess 文件

这将在纯文本编辑器中打开文件。在文件的底部,你可以添加代码以将 HTTPS 安全标头添加到你的 WordPress 网站。

你可以使用以下示例代码作为起点,它将最常用的 HTTPs 安全标头设置为最佳设置:

标头集 Strict-Transport-Security "max-age=31536000" env=HTTPSHeader set X-XSS-Protection "1; mode=block"标头集 X-Content-Type-Options nosniffHeader set X-Frame-Options DENYHeader set Referrer-政策:降级时无推荐人

不要忘记保存你的更改并访问你的网站,以确保一切正常。

注意:.htaccess 文件中不正确的标题或冲突可能会触发 500 Internal server error 在大多数网络主机上。

4。使用插件在 WordPress 中添加 HTTP 安全标头

这种方法效率稍低,因为它依赖于 WordPress 插件来修改标题。但是,这也是将 HTTP 安全标头添加到 WordPress 网站的最简单方法。

首先,你需要安装并激活 Redirection一个>插件。有关更多详细信息,请参阅我们的分步指南 如何安装 WordPress插件.

激活后,插件将显示一个设置向导,你可以按照该向导设置插件。之后,转到工具»重定向页面并切换到“站点”标签。

重定向插件中的站点设置

接下来,你需要向下滚动到页面底部的 HTTP 标头部分,然后单击“添加标头”按钮。从下拉菜单中,你需要选择“添加安全预设”选项。

使用重定向添加标题预设

之后,你需要再次单击它以添加这些选项。现在,你将看到一个预设的 HTTP 安全标头列表出现在表中。

HTTP 安全标头预设

这些标头已针对安全性进行了优化,你可以查看它们并在需要时进行更改。完成后,不要忘记单击更新按钮以保存更改。

你现在可以访问你的网站以确保一切正常。

如何检查网站的 HTTP 安全标头

现在,你已将 HTTP 安全标头添加到你的网站。你可以使用免费的 Security Headers 工具测试你的配置。只需输入你的网站 URL,然后单击“扫描”按钮。

检查 WordPress 安全标头

然后它会检查你网站的 HTTP 安全标头并向你显示报告。该工具会生成一个所谓的等级标签 wh你可以忽略,因为大多数网站最多只能获得 B 或 C 分数,而不会影响用户体验。

它将显示你的网站发送了哪些 HTTP 安全标头,以及哪些安全标头不包括在内。如果你想要设置的安全标头在此处列出,那么你就完成了。

就是这样,我们希望本文能帮助你了解如何在 WordPress 中添加 HTTP 安全标头。你可能还想查看我们的完整的 WordPress 安全指南 a>,以及我们专家挑选的 商业网站最佳 WordPress 插件



No comments:

Powered by Blogger.