Techbear
Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.
Заголовки X-Security защищают сайт от XSS атак (cross-site scripting, межсайтовый скриптинг), защищают посетителей сайта от загрузки вредоносного кода, добавленного хакерами и защищают сайт от «подмены клика».
В этой статье вы узнаете, как добавить 3 заголовка, которые сервер будет добавлять в ответ на каждый запрос к ресурсам сайта. Это простые снипеты для файла .htaccess, которые усилят безопасность вашего сайта.
Содержание:
Объединение всех заголовков
Плагины
Проверка заголовков
Этот заголовок поможет защитить сайт от XSS атак. Добавьте этот снипет в файл .htaccess:
Никаких настроек не требуется, просто скопируйте и вставьте. Этот код добавляет заголовок X-XSS-Protection
в ответы сервера. Большинство современных браузеров его понимают и будут использовать его против XSS атак.
Альтернативный способ добавить этот снипет на сайт — через файл functions.php дочерней темы или с помощью специального плагина:
Суть в том, что посетителю показывается какая-то страница, где он кликает по какой-то кнопке. На самом деле поверх этой страницы находится какая-то другая прозрачная страница, по кнопке на которой посетитель в действительности деле кликает.
Примечание: На некоторых темах это правило отключает или ломает настройщик Вордпресс Внешний вид — Настроить. Если ваш настройщик перестал работать, не применяйте это правило.
Никаких настроек не требуется, просто скопируйте и вставьте. Этот код добавляет заголовок X-Frame-Options
в ответы сервера. Большинство современных браузеров понимают этот заголовок и будут использовать его, чтобы убедиться, что страница отображается только на своем домене.
Еще один способ добавить этот снипет на сайт — через файл functions.php дочерней темы или с помощью специального плагина:
Этот тип атак проверяет содержимое потока информации, чтобы попытаться определить формат файлов данных внутри него и добавить свою информацию.
Добавьте этот код в .htaccess:
Никаких настроек не требуется, просто скопируйте и вставьте. Этот снипет добавляет заголовок X-Content-Type-Options
в ответы сервера. Большинство современных браузеров понимают этот заголовок и будут использовать его, чтобы браузеры правильно интерпретировали типы файлов (css, javascript, шрифты, картинки, видео, и так далее).
Также вы можете добавить этот снипет на сайт через файл functions.php дочерней темы или с помощью специального плагина:
Реклама
Простой способ выгодно купить полис
Вы можете объединить все три заголовка в один:
Добавьте этот снипет в ваш .htaccess, никаких настроек не требуется.
Если вы не хотите использовать правило X-Frame-Options
не добавляйте его, или закомментируйте:
Ваш сайт будет не так безопасен, но это определенно не большая проблема безопасности. Скорее всего, большинство сайтов в Интернете не имеют ни одного из этих заголовков и хорошо работают. Эти техники — дополнительные уровни защиты.
Если вы не хотите добавлять код, вы можете добавить эти заголовки с помощью плагина:
После того, как вы добавили эти заголовки, вы можете проверить их работу на этом сайте: securityheaders.com.
Или в браузере, инструмент Просмотреть код (Inspect):
Еше один способ — с помощью расширения для Google Chrome Live HTTP Headers. Для других браузеров это расширение тоже есть, смотрите в расширениях.
Включите плагин и зайдите на свой сайт. Загрузите страницу, вы увидите, какие заголовки добавил сервер:
Читайте также:
Надеюсь, статья была полезна. Оставляйте комментарии.
Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.