Techbear
Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.
Главная » Безопасность »
Заголовки безопасности
Когда пользователь заходит на сайт через свой браузер, сервер добавляет к ответам HTTP заголовки, в том числе HTTP заголовки безопасности.
Эти заголовки говорят браузеру, как себя вести при работе с сайтом. В основном эти заголовки состоят из метаданных.
Вы можете использовать эти заголовки, чтобы наметить связь сервера и браузера, и улучшить безопасность сайта.
Содержание:
HSTS — HTTP-Strict-Transport-Security
Этот заголовок говорит серверу использовать только безопасное HTTPS соединение и не использовать небезопасное HTTP подключение.
Перед применением настройки убедитесь, что у сайта есть и корректно работает SSL сертификат.
Чтобы добавить этот заголовок откройте файл .htaccess и добавьте этот код:
Если у сайта есть субдомены, вы можете добавить директиву includeSubDomains, то есть:
Добавьте снипет в functions.php
Альтернативный способ добавить этот снипет на сайт — через файл functions.php дочерней темы или с помощью специального плагина:
HSTS на Cloudflare
Еще один способ добавить заголовок HSTS — включить его в панели Cloudflare, если вы им пользуетесь:
Внимание: после включения HSTS ваш сайт должен будет всегда иметь действительный SSL сертификат, иначе сайт станет недоступен для пользователей до истечения срока действия кешированных заголовков Max-Age или до тех пор, пока не будет восстановлен HTTPS c заголовком HSTS со значением 0.
Здесь вы можете подавать заявку на добавление вашего сайта в списки браузеров, в которые добавлены сайты доступные только по HTTPS.
Referrer-Policy
Этот заголовок позволяет сайту контролировать, сколько информации браузер может сохранить, когда уходит с сайта. То есть позволяет контролировать, какие сайты могут видеть откуда пришел посетитель.
Рекомендуемое значение same-origin дает вам возможность отслеживать перемещение посетителей внутри вашего сайта, но другие сайты не будут знать, что посетитель пришел с вашего сайта.
Добавьте этот снипет в .htaccess:
Снипет в functions.php
Или добавьте в functions.php дочерней темы или с помощью специального плагина:
Feature-Policy
Этот новый заголовок, который позволяет сайту контролировать какакие функции и API могут использовать браузеры.
Вы можете запретить браузеру использовать камеру, микрофон, геолокацию и другие функции. Полный список.
Обратите внимание, этот пример отключает все функции. Если ваш сайт использует какие-то функции, удалите все ненужное или перейдите на сайт Мозиллы для инструкции.
Добавьте в .htaccess этот код:
Functions.php
Снипет для functions.php:
Реклама
Калькулятор ОСАГО
Простой способ выгодно купить полис
Content-Security-Policy
Это эффетивное средство для защиты сайта от XSS атак. Этот заголовок говорит браузерам загружать контент только из разрешенных источников.
Вы разрешаете браузерам использовать только одобренный контент, и это поможет избежать загрузки вредоносного контента браузером.
Внимание: Если вы загружаете скрипты с других сайтов, например, скрипты Яндекс или Гугл Аналитики, этот заголовок может нарушить функционал сайта. Протестируйте перед применением.
В этом примере заголовок говорит браузерам загружать скрипты javascript .js только с этого сайта. Обратите внимание, что строчный (inline) код не будет работать.
Добавьте этот снипет в .htaccess:
Плагины
Если вы не хотите добавлять код, вы можете добавить эти заголовки с помощью плагинов:
Проверка сайта на безопасность заголовков
Самый простой способ проверить, какие заголовки присутствуют на вашем сайте: securityheaders.com.
Или в браузере, инструмент Просмотреть код (Inspect):
Еше один способ — с помощью расширения для Google Chrome Live HTTP Headers (Или аналогичного, наберите HTTP Headers в поиске). Для других браузеров это расширение тоже есть, смотрите в расширениях.
Включите плагин и зайдите на свой сайт. Загрузите страницу, вы увидите, какие заголовки добавил сервер.
Читайте также:
Надеюсь, статья была полезна. Оставляйте комментарии.
Похожие записи
Права доступа к файлам и папкам
Ключи и соли Вордпресс
Бэкап WordPress
8 Лучших плагинов защиты Вордпресс
Обновление Вордпресс — Ручное и Автоматическое
Как изменить префикс базы данных
Как отключить информацию о версии ПО в ответах Сервера
Чек-лист: Что делать, если сайт взломали
Как изменить пароль администратора WordPress (3 Способа)
Заголовки безопасности X-Security
Как изменить пароль администратора Вордпресс без доступа к базе данных
Как отключить XML-RPC
Защита Вордпресс для новичков
Как удалить сайт из черных списков
