Cum să adăugați anteturi de securitate HTTP în WordPress (Ghid pentru începători)

Protejarea site-ului dvs. WordPress împotriva amenințărilor online este crucială. O modalitate prin care îmbunătățim securitatea la WPBeginner este prin utilizarea antetelor de securitate HTTP. Acestea oferă un strat suplimentar de securitate, acționând ca un scut împotriva atacurilor și vulnerabilităților comune.

Aceste antete funcționează în culise, instruind browserele web și serverele despre cum să gestioneze datele site-ului dvs. web și să-i îmbunătățească securitatea generală. Adăugarea acestor antete este o modalitate simplă, dar eficientă, de a consolida apărarea site-ului dvs. web și de a vă proteja împotriva activităților malițioase.

Acest ghid pentru începători vă va arăta cum să adăugați antete de securitate HTTP în WordPress. Vom acoperi diverse metode, inclusiv utilizarea plugin-urilor și editarea manuală a fișierelor de configurare.

Ce sunt anteturile de securitate HTTP?

Antetele de securitate HTTP sunt o măsură de securitate care permite serverului site-ului dvs. web să prevină unele amenințări comune de securitate înainte ca acestea să vă afecteze site-ul web.

Când un utilizator vizitează site-ul dvs. WordPress, serverul dvs. web trimite un răspuns HTTP header către browserul acestuia. Acest răspuns informează browserele despre codurile de eroare, controlul cache-ului și alte stări.

Răspunsul normal al antetului emite un status numit HTTP 200. După aceasta, site-ul dvs. se încarcă în browserul utilizatorului. Cu toate acestea, dacă site-ul dvs. întâmpină dificultăți, atunci serverul dvs. web poate trimite un antet HTTP diferit.

De exemplu, poate trimite un eroare internă de server 500 sau un cod de eroare nu a fost găsit 404.

Antetele de securitate HTTP sunt un subset al acestor antete. Ele sunt utilizate pentru a proteja site-urile web de amenințări comune, cum ar fi click-jacking, cross-site scripting, atacuri de tip brute force și multe altele.

Să aruncăm o privire rapidă asupra unor anteturi de securitate HTTP și cum acestea vă protejează site-ul WordPress:

• HTTP Strict Transport Security (HSTS) informează browserele web că site-ul dvs. web utilizează HTTPS și nu ar trebui să fie încărcat folosind un protocol nesecurizat precum HTTP.
• X-XSS Protection vă permite să blocați încărcarea atacurilor de tip cross-site scripting.
• X-Frame-Options previne iframe-urile cross-domain sau click-jacking.
• X-Content-Type-Options X-Content-Type-Options blochează detectarea tipului MIME al conținutului.

Antetele de securitate HTTP funcționează cel mai bine atunci când sunt setate la nivelul serverului web, ceea ce înseamnă contul dvs. de hosting WordPress. Acest lucru le permite să fie declanșate devreme în timpul unei solicitări HTTP tipice și să ofere beneficii maxime.

Acestea funcționează și mai bine dacă utilizați un firewall pentru aplicații web la nivel de DNS, cum ar fi un firewall pentru aplicații web precum Sucuri sau Cloudflare.

Acestea fiind spuse, să vedem cum puteți adăuga cu ușurință antete de securitate HTTP în WordPress. Iată linkuri rapide către diferite metode, astfel încât să puteți sări la cea care vi se potrivește:

1. Adăugarea antetelor de securitate HTTP în WordPress folosind Sucuri
2. Adăugarea antetelor de securitate HTTP în WordPress folosind Cloudflare
3. Adăugarea antetelor de securitate HTTP în WordPress folosind .htaccess
4. Adăugarea antetelor de securitate HTTP în WordPress folosind AIOSEO
5. Cum să verificați antetele de securitate HTTP pentru un site web
6. Ghiduri Experte despre Securitatea WordPress

1. Adăugarea antetelor de securitate HTTP în WordPress folosind Sucuri

Sucuri este unul dintre cele mai bune pluginuri de securitate WordPress de pe piață. Dacă utilizați serviciul lor de firewall pentru site-uri web, atunci puteți seta antete de securitate HTTP fără a scrie cod.

Mai întâi, va trebui să vă creați un cont Sucuri. Este un serviciu plătit care vine cu un firewall la nivel de server, un plugin de securitate, CDN și garanție de eliminare a malware-ului.

În timpul înregistrării, va trebui să răspundeți la întrebări simple, iar documentația Sucuri vă va ajuta să configurați firewall-ul aplicației web pe site-ul dvs.

După înregistrare, trebuie să instalați și să activați gratuitul plugin Sucuri. Pentru mai multe detalii, consultați ghidul nostru pas cu pas despre cum se instalează un plugin WordPress.

După activare, trebuie să accesați Sucuri Security » Firewall (WAF) și să introduceți cheia API a firewall-ului. Puteți găsi aceste informații în contul dvs. pe site-ul Sucuri.

După aceea, va trebui să faceți clic pe butonul verde „Salvare” pentru a salva modificările.

Apoi, trebuie să treceți la tabloul de bord al contului dvs. Sucuri. De aici, faceți clic pe meniul „Setări” din partea de sus și apoi treceți la fila „Securitate”.

De aici, puteți alege trei seturi de reguli. Protecția implicită va funcționa bine pentru majoritatea site-urilor web.

Dacă aveți un plan Profesional sau Business, atunci aveți și opțiuni pentru HSTS și HSTS Full. Puteți vedea ce antete de securitate HTTP vor fi aplicate pentru fiecare set de reguli.

Trebuie să faceți clic pe butonul „Salvează modificările în antetele suplimentare” pentru a aplica modificările.

Sucuri va adăuga acum anteturile de securitate HTTP selectate în WordPress. Deoarece este un WAF la nivel de DNS, traficul site-ului dvs. web este protejat de hackeri chiar înainte ca aceștia să ajungă la site-ul dvs.

2. Adăugarea antetelor de securitate HTTP în WordPress folosind Cloudflare

Cloudflare oferă un firewall de bază gratuit pentru site-uri web și un serviciu CDN. Planul gratuit îi lipsesc funcționalități avansate de securitate, așa că va trebui să faceți upgrade la planul Pro, care este mai scump.

Puteți învăța cum să adăugați Cloudflare pe site-ul dvs. web urmând tutorialul nostru despre cum să configurați CDN-ul gratuit Cloudflare în WordPress.

Odată ce Cloudflare este activ pe site-ul dvs., trebuie să accesați pagina SSL/TLS din tabloul de bord al contului dvs. Cloudflare și apoi să comutați la fila „Certificate Edge”.

Acum, derulați în jos la secțiunea „HTTP Strict Transport Security (HSTS)”.

Odată ce îl găsiți, trebuie să faceți clic pe butonul „Activați HSTS”.

Aceasta va deschide o fereastră pop-up cu instrucțiuni care vă spun că trebuie să aveți HTTPS activat pe site-ul dvs. înainte de a utiliza această funcție.

Dacă blogul dvs. WordPress are deja o conexiune HTTPS securizată, atunci puteți face clic pe butonul „Următorul” pentru a continua. Veți vedea opțiunile pentru a adăuga antete de securitate HTTP.

De aici, puteți activa HSTS, aplica HSTS subdomeniilor (dacă subdomeniile folosesc HTTPS), preîncărca HSTS și activa antetul no-sniff.

Această metodă oferă protecție de bază folosind anteturi de securitate HTTP. Cu toate acestea, nu vă permite să adăugați X-Frame-Options, iar Cloudflare nu are o interfață de utilizator pentru a face acest lucru.

Puteți face acest lucru creând un script folosind funcția Cloudflare Workers. Cu toate acestea, nu recomandăm acest lucru, deoarece crearea unui script pentru anteturi de securitate HTTPS poate cauza probleme neașteptate pentru începători.

3. Adăugarea anteturilor de securitate HTTP în WordPress folosind .htaccess

Această metodă vă permite să setați antetele de securitate HTTP în WordPress la nivel de server.

Necesită editarea fișierului .htaccess de pe site-ul dvs. web. Acest fișier de configurare a serverului este utilizat de cel mai frecvent software de server web Apache.

Notă: Înainte de a face orice modificări la fișierele de pe site-ul dvs., vă recomandăm să faceți un backup.

Apoi, pur și simplu conectați-vă la site-ul dvs. folosind un client FTP sau managerul de fișiere din panoul de control al găzduirii web. În folderul rădăcină al site-ului dvs., trebuie să găsiți fișierul .htaccess și să îl editați.

Aceasta va deschide fișierul într-un editor de text simplu. În partea de jos a fișierului, puteți adăuga un cod pentru a adăuga antete de securitate HTTPS pe site-ul dvs. WordPress.

Puteți folosi următorul cod de exemplu ca punct de plecare. Acesta setează cele mai frecvent utilizate anteturi de securitate HTTP cu setări optime:

<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>

Nu uitați să salvați modificările și să vă vizitați site-ul web pentru a vă asigura că totul funcționează conform așteptărilor.

4. Adăugarea antetelor de securitate HTTP în WordPress folosind AIOSEO

All in One SEO (AIOSEO) este cel mai bun instrument SEO pentru WordPress și este de încredere pentru peste 3 milioane de afaceri. Pluginul premium vă permite să adăugați cu ușurință anteturi de securitate HTTP pe site-ul dvs. web.

Primul lucru pe care va trebui să îl faceți este să instalați și să activați pluginul AIOSEO pe site-ul dvs. Puteți afla mai multe în ghidul nostru pas cu pas despre cum să configurați corect All in One SEO pentru WordPress.

Apoi va trebui să accesați pagina All in One SEO » Redirects pentru a adăuga anteturile de securitate HTTP. Mai întâi, va trebui să faceți clic pe butonul „Activate Redirects” pentru a activa funcționalitatea.

Odată ce redirecționările sunt activate, trebuie să faceți clic pe fila „Redirecționare completă a site-ului” și apoi să derulați în jos la secțiunea „Setări canonice”.

Pur și simplu activați comutatorul „Setări canonice” și apoi faceți clic pe butonul „Adăugați presetări de securitate”.

Veți vedea o listă predefinită de antete de securitate HTTP apărând în tabel.

Aceste anteturi sunt optimizate pentru securitatea site-ului web. Le puteți revizui și modifica dacă este necesar.

Asigurați-vă că faceți clic pe butonul „Salvare modificări” din partea de sus sau de jos a ecranului pentru a stoca antetele de securitate.

Acum puteți vizita site-ul dvs. web pentru a vă asigura că totul funcționează corect.

Cum să verificați antetele de securitate HTTP pentru un site web

Acum că ați adăugat antete de securitate HTTP pe site-ul dvs., puteți testa configurația folosind instrumentul gratuit Antete de Securitate.

Pur și simplu introduceți URL-ul site-ului dvs. web și faceți clic pe butonul „Scan”.

Apoi va verifica antetele de securitate HTTP pentru site-ul dvs. și vă va arăta un raport. Instrumentul va genera, de asemenea, o așa-numită etichetă de notă, pe care o puteți ignora, deoarece majoritatea site-urilor web vor obține un scor B sau C fără a afecta experiența utilizatorului.

Acesta vă va arăta ce anteturi de securitate HTTP sunt trimise de site-ul dvs. web și care nu sunt incluse. Dacă anteturile de securitate pe care doreați să le configurați sunt listate acolo, atunci ați terminat.

Ghiduri Experte despre Securitatea WordPress

Sperăm că acest articol v-a ajutat să învățați cum să adăugați antete de securitate HTTP în WordPress. De asemenea, ați putea dori să consultați alte ghiduri legate de îmbunătățirea securității site-ului dvs. WordPress:

• Ghidul complet de securitate WordPress (Pas cu Pas)
• Cum să efectuezi un audit de securitate WordPress (Listă completă)
• Cum să obții un certificat SSL gratuit pentru site-ul tău WordPress (Ghid pentru începători)
• Principalele motive pentru care site-urile WordPress sunt compromise (& Cum să le preveniți)
• Cum să schimbi prefixul bazei de date WordPress pentru a îmbunătăți securitatea
• Cele mai bune plugin-uri de securitate WordPress pentru a vă proteja site-ul (comparativ)
• Cele mai bune scanere de securitate WordPress pentru detectarea malware-ului și a hacking-urilor
• Cum să scanezi site-ul tău WordPress pentru cod potențial malițios

Dacă ți-a plăcut acest articol, te rugăm să te abonezi la canalul nostru de YouTube pentru tutoriale video WordPress. Ne poți găsi, de asemenea, pe Twitter și Facebook.