Techbear
Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.
Когда пользователь заходит на сайт через свой браузер, сервер добавляет к ответам HTTP заголовки, в том числе HTTP заголовки безопасности.
Эти заголовки говорят браузеру, как себя вести при работе с сайтом. В основном эти заголовки состоят из метаданных.
Вы можете использовать эти заголовки, чтобы наметить связь сервера и браузера, и улучшить безопасность сайта.
Содержание:
Этот заголовок говорит серверу использовать только безопасное HTTPS соединение и не использовать небезопасное HTTP подключение.
Перед применением настройки убедитесь, что у сайта есть и корректно работает SSL сертификат.
Чтобы добавить этот заголовок откройте файл .htaccess и добавьте этот код:
Если у сайта есть субдомены, вы можете добавить директиву includeSubDomains
, то есть:
Альтернативный способ добавить этот снипет на сайт — через файл functions.php дочерней темы или с помощью специального плагина:
Еще один способ добавить заголовок HSTS — включить его в панели Cloudflare, если вы им пользуетесь:
Внимание: после включения HSTS ваш сайт должен будет всегда иметь действительный SSL сертификат, иначе сайт станет недоступен для пользователей до истечения срока действия кешированных заголовков Max-Age или до тех пор, пока не будет восстановлен HTTPS c заголовком HSTS со значением 0.
Здесь вы можете подавать заявку на добавление вашего сайта в списки браузеров, в которые добавлены сайты доступные только по HTTPS.
Этот заголовок позволяет сайту контролировать, сколько информации браузер может сохранить, когда уходит с сайта. То есть позволяет контролировать, какие сайты могут видеть откуда пришел посетитель.
Рекомендуемое значение same-origin
дает вам возможность отслеживать перемещение посетителей внутри вашего сайта, но другие сайты не будут знать, что посетитель пришел с вашего сайта.
Добавьте этот снипет в .htaccess:
Или добавьте в functions.php дочерней темы или с помощью специального плагина:
Этот новый заголовок, который позволяет сайту контролировать какакие функции и API могут использовать браузеры.
Вы можете запретить браузеру использовать камеру, микрофон, геолокацию и другие функции. Полный список.
Обратите внимание, этот пример отключает все функции. Если ваш сайт использует какие-то функции, удалите все ненужное или перейдите на сайт Мозиллы для инструкции.
Добавьте в .htaccess этот код:
Снипет для functions.php:
Реклама
Простой способ выгодно купить полис
Это эффетивное средство для защиты сайта от XSS атак. Этот заголовок говорит браузерам загружать контент только из разрешенных источников.
Вы разрешаете браузерам использовать только одобренный контент, и это поможет избежать загрузки вредоносного контента браузером.
Внимание: Если вы загружаете скрипты с других сайтов, например, скрипты Яндекс или Гугл Аналитики, этот заголовок может нарушить функционал сайта. Протестируйте перед применением.
В этом примере заголовок говорит браузерам загружать скрипты javascript .js только с этого сайта. Обратите внимание, что строчный (inline) код не будет работать.
Добавьте этот снипет в .htaccess:
Если вы не хотите добавлять код, вы можете добавить эти заголовки с помощью плагинов:
Самый простой способ проверить, какие заголовки присутствуют на вашем сайте: securityheaders.com.
Или в браузере, инструмент Просмотреть код (Inspect):
Еше один способ — с помощью расширения для Google Chrome Live HTTP Headers (Или аналогичного, наберите HTTP Headers в поиске). Для других браузеров это расширение тоже есть, смотрите в расширениях.
Включите плагин и зайдите на свой сайт. Загрузите страницу, вы увидите, какие заголовки добавил сервер.
Читайте также:
Надеюсь, статья была полезна. Оставляйте комментарии.
Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.