Att skydda din WordPress-webbplats från onlinehot är avgörande. Ett sätt vi förbättrar säkerheten på WPBeginner är genom att använda HTTP-säkerhetsrubriker. Dessa ger ett extra säkerhetslager och fungerar som en sköld mot vanliga attacker och sårbarheter.
Dessa huvuden fungerar i bakgrunden och instruerar webbläsare och servrar om hur de ska hantera din webbplats data och förbättra dess övergripande säkerhet. Att lägga till dessa huvuden är ett enkelt men effektivt sätt att stärka din webbplats försvar och skydda mot skadlig aktivitet.
Denna nybörjarguide visar hur du lägger till HTTP-säkerhetshuvuden i WordPress. Vi kommer att täcka olika metoder, inklusive att använda plugins och manuellt redigera konfigurationsfiler.
Vad är HTTP-säkerhetsrubriker?
HTTP-säkerhetsrubriker är en säkerhetsåtgärd som gör det möjligt för din webbplats server att förhindra vissa vanliga säkerhetshot innan de kan påverka din webbplats.
När en användare besöker din WordPress-webbplats, skickar din webbserver ett HTTP-huvudrespons till deras webbläsare. Detta svar talar om för webbläsare om felkoder, cachekontroll och andra statusar.
Den normala svarshuvuden skickar en status som kallas HTTP 200. Därefter laddas din webbplats i användarens webbläsare. Men om din webbplats har problem kan din webbserver skicka ett annat HTTP-huvud.
Till exempel kan den skicka en intern serverfel 500 eller en hittades inte 404-fel kod.
HTTP-säkerhetsrubriker är en delmängd av dessa rubriker. De används för att skydda webbplatser från vanliga hot som click-jacking, cross-site scripting, brute force-attacker och mer.
Låt oss ta en snabb titt på några HTTP-säkerhetsrubriker och hur de skyddar din WordPress-webbplats:
- HTTP Strict Transport Security (HSTS) talar om för webbläsare att din webbplats använder HTTPS och inte bör laddas med ett osäkert protokoll som HTTP.
- X-XSS Protection låter dig blockera korsplats-skriptning från att laddas.
- X-Frame-Options förhindrar iframes mellan domäner eller click-jacking.
- X-Content-Type-Options X-Content-Type-Options blockerar MIME-typ-sniffing av innehåll.
HTTP-säkerhetsrubriker fungerar bäst när de ställs in på webbservernivå, vilket innebär ditt WordPress-värdkonto. Detta gör att de kan utlösas tidigt under en typisk HTTP-begäran och ge maximal nytta.
De fungerar ännu bättre om du använder en DNS-nivå brandvägg för webbapplikationer som Sucuri eller Cloudflare.
Med det sagt, låt oss titta på hur man enkelt lägger till HTTP-säkerhetsrubriker i WordPress. Här är snabblänkar till olika metoder så att du kan hoppa till den som passar dig:
- Lägga till HTTP-säkerhetshuvuden i WordPress med Sucuri
- Lägga till HTTP-säkerhetsrubriker i WordPress med Cloudflare
- Lägga till HTTP-säkerhetshuvuden i WordPress med .htaccess
- Lägga till HTTP-säkerhetshuvuden i WordPress med AIOSEO
- Hur man kontrollerar HTTP-säkerhetshuvuden för en webbplats
- Experthandledningar om WordPress-säkerhet
1. Lägga till HTTP-säkerhetshuvuden i WordPress med Sucuri
Sucuri är ett av de bästa WordPress säkerhetsplugins på marknaden. Om du använder deras webbplats brandväggstjänst kan du ställa in HTTP-säkerhetsrubriker utan att skriva någon kod.
Först måste du registrera dig för ett Sucuri-konto. Det är en betald tjänst som inkluderar en webbplatsbrandvägg på servernivå, säkerhetsplugin, CDN och garanti för borttagning av skadlig kod.
Vid registrering måste du svara på enkla frågor, och Sucuri-dokumentationen hjälper dig att konfigurera brandväggen för webbapplikationer på din webbplats.
Efter registrering måste du installera och aktivera det kostnadsfria Sucuri-pluginet. För mer information, se vår steg-för-steg-guide om hur man installerar ett WordPress-plugin.
Efter aktivering måste du gå till Sucuri Security » Firewall (WAF) och ange din brandväggs-API-nyckel. Du hittar denna information under ditt konto på Sucuri-webbplatsen.
Därefter behöver du klicka på den gröna knappen 'Spara' för att lagra dina ändringar.
Gå sedan till ditt Sucuri-kontos instrumentpanel. Klicka här på menyn ‘Inställningar’ högst upp och byt sedan till fliken ‘Säkerhet’.
Härifrån kan du välja tre uppsättningar regler. Standard-skyddet fungerar bra för de flesta webbplatser.
Om du har en Professional- eller Business-plan, har du även alternativ för HSTS och HSTS Full. Du kan se vilka HTTP-säkerhetsrubriker som kommer att tillämpas för varje regeluppsättning.
Du måste klicka på knappen 'Spara ändringar i ytterligare rubriker' för att tillämpa dina ändringar.
Sucuri kommer nu att lägga till dina valda HTTP-säkerhetsrubriker i WordPress. Eftersom det är en WAF på DNS-nivå skyddas din webbplatstrafik från hackare redan innan de når din webbplats.
2. Lägga till HTTP-säkerhetsrubriker i WordPress med Cloudflare
Cloudflare erbjuder en grundläggande gratis brandvägg och CDN-tjänst för webbplatser. Den saknar avancerade säkerhetsfunktioner i sin gratisplan, så du behöver uppgradera till deras Pro-plan, som är dyrare.
Du kan lära dig hur du lägger till Cloudflare på din webbplats genom att följa vår handledning om hur man ställer in Cloudflare gratis CDN i WordPress.
När Cloudflare är aktivt på din webbplats måste du gå till sidan SSL/TLS i ditt Cloudflare-kontos instrumentpanel och sedan växla till fliken 'Edge Certificates'.
Skrolla nu ner till avsnittet 'HTTP Strict Transport Security (HSTS)'.
När du hittar den måste du klicka på knappen 'Aktivera HSTS'.
Detta öppnar ett popup-fönster med instruktioner som säger att du måste ha HTTPS aktiverat på din webbplats innan du använder den här funktionen.
Om din WordPress-blogg redan har en säker HTTPS-anslutning, kan du klicka på knappen ‘Nästa’ för att fortsätta. Du kommer att se alternativen för att lägga till HTTP-säkerhetsrubriker.
Härifrån kan du aktivera HSTS, tillämpa HSTS på underdomäner (om underdomänerna använder HTTPS), förladda HSTS och aktivera no-sniff-huvudet.
Denna metod ger grundläggande skydd med hjälp av HTTP-säkerhetsrubriker. Den låter dig dock inte lägga till X-Frame-Options, och Cloudflare har inget användargränssnitt för att göra det.
Du kan fortfarande göra det genom att skapa ett skript med funktionen Cloudflare Workers. Vi rekommenderar dock inte detta eftersom skapandet av ett skript för HTTPS-säkerhetsrubriker kan orsaka oväntade problem för nybörjare.
3. Lägga till HTTP-säkerhetsrubriker i WordPress med .htaccess
Denna metod låter dig ställa in HTTP-säkerhetsrubrikerna i WordPress på servernivå.
Det kräver redigering av filen .htaccess på din webbplats. Den här serverkonfigurationsfilen används av den vanligaste Apache-webbserverprogramvaran.
Notera: Innan du gör några ändringar i filer på din webbplats rekommenderar vi att du tar en säkerhetskopia.
Anslut sedan helt enkelt till din webbplats med en FTP-klient eller filhanteraren i din webbhotells kontrollpanel. I webbplatsens rotmapp behöver du hitta .htaccess-filen och redigera den.
Detta öppnar filen i en enkel textredigerare. Längst ner i filen kan du lägga till kod för att lägga till HTTPS-säkerhetsrubriker till din WordPress-webbplats.
Du kan använda följande exempelkod som utgångspunkt. Den ställer in de mest använda HTTP-säkerhetsrubrikerna med optimala inställningar:
<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>
Glöm inte att spara dina ändringar och besök din webbplats för att säkerställa att allt fungerar som förväntat.
Notera: Var försiktig när du redigerar kod på din webbplats. Felaktiga rubriker eller konflikter i .htaccess-filen kan utlösa intern serverfel 500.
4. Lägga till HTTP-säkerhetsrubriker i WordPress med AIOSEO
All in One SEO (AIOSEO) är det bästa SEO-verktyget för WordPress och litar på av över 3 miljoner företag. Premium-pluginet låter dig enkelt lägga till HTTP-säkerhetsrubriker till din webbplats.
Det första du behöver göra är att installera och aktivera AIOSEO-pluginet på din webbplats. Du kan läsa mer i vår steg-för-steg-guide om hur du ställer in All in One SEO för WordPress.
Du behöver sedan gå till sidan All in One SEO » Omdirigeringar för att lägga till HTTP-säkerhetsrubrikerna. Först måste du klicka på knappen 'Aktivera omdirigeringar' för att aktivera funktionen.
När omdirigeringar är aktiverade måste du klicka på fliken 'Full Site Redirect' och sedan skrolla ner till avsnittet 'Canonical Settings'.
Aktivera helt enkelt växlingsknappen 'Canonical Settings' och klicka sedan på knappen 'Add Security Presets'.
Du kommer att se en förinställd lista med HTTP-säkerhetshuvuden visas i tabellen.
Dessa rubriker är optimerade för webbplatssäkerhet. Du kan granska och ändra dem vid behov.
Se till att klicka på knappen 'Spara ändringar' högst upp eller längst ner på skärmen för att lagra säkerhetsrubrikerna.
Du kan nu besöka din webbplats för att säkerställa att allt fungerar som det ska.
Hur man kontrollerar HTTP-säkerhetshuvuden för en webbplats
Nu när du har lagt till HTTP-säkerhetshuvuden på din webbplats kan du testa din konfiguration med det kostnadsfria Security Headers-verktyget.
Ange helt enkelt din webbplats-URL och klicka på knappen ‘Skanna’.
Därefter kontrollerar den HTTP-säkerhetsrubrikerna för din webbplats och visar en rapport. Verktyget genererar också en så kallad betygsnivå, som du kan ignorera eftersom de flesta webbplatser får ett B- eller C-betyg utan att det påverkar användarupplevelsen.
Den kommer att visa dig vilka HTTP-säkerhetsrubriker som skickas av din webbplats och vilka som inte inkluderas. Om säkerhetsrubrikerna som du ville konfigurera finns listade där, då är du klar.
Experthandledningar om WordPress-säkerhet
Vi hoppas att den här artikeln hjälpte dig att lära dig hur du lägger till HTTP-säkerhetsrubriker i WordPress. Du kanske också vill se några andra guider relaterade till att förbättra säkerheten på din WordPress-webbplats:
- Den ultimata guiden till WordPress-säkerhet (steg för steg)
- Hur man utför en WordPress-säkerhetsrevision (komplett checklista)
- Hur man får ett gratis SSL-certifikat för din WordPress-webbplats (nybörjarguide)
- Toppskäl till varför WordPress-sajter hackas (& hur man förhindrar det)
- Hur man ändrar WordPress databasprefix för att förbättra säkerheten
- Bästa WordPress-säkerhetsplugins för att skydda din webbplats (jämförda)
- Bästa WordPress-säkerhetsskannrar för att upptäcka skadlig kod och intrång
- Hur du skannar din WordPress-webbplats efter potentiellt skadlig kod
Om du gillade den här artikeln, prenumerera då på vår YouTube-kanal för WordPress-videoguider. Du kan också hitta oss på Twitter och Facebook.
Jiří Vaněk
Jag har använt CloudFlare sedan jag startade min blogg, främst för deras CDN och DDoS-skydd. Jag har redan gått igenom installationen av SSL med certifikat både på min server och på CloudFlare. Det fanns dock vissa säkerhetsinställningar som jag inte kände till och inte aktiverade av rädsla för att störa min webbplats funktionalitet. Detta var en av dem. Tack vare den här artikeln aktiverade jag funktionen och nu förstår jag dess syfte mycket bättre. Och naturligtvis gick webbplatsen inte sönder; den fortsätter att fungera utmärkt. Jag är glad att jag har tagit detta extra steg för säkerheten. Så, tack för den här artikeln!
Holly Gough
Tack för denna information. Tydliga, koncisa och lätt att följa instruktioner. Jag spenderade över en timme på att försöka fixa rubrikproblemen. Tack!
WPBeginner Support
Glad att vår guide kunde hjälpa dig!
Admin
Valerie
Tack. Stenhård information, som vanligt. Tack för din hjälp, det fungerade perfekt.
WPBeginner Support
Varsågod, glad att vår guide var till hjälp!
Admin
Katrin
Var i .htacces ska jag placera koden? Ovanför, mellan # BEGIN WordPress eller bakom # END WordPress?
WPBeginner Support
You would want to put code between the begin and end WordPress
Admin
Michelangelo
Tack så mycket för den här artikeln! Den hjälpte så mycket.
I wish you the best and that your sleeves never slip during dishwashing
WPBeginner Support
Glad att vår artikel var till hjälp!
Admin
Karma Tsheten
Det fungerade för mig men det förstörde också min design. när jag lägger till säkerhetsrubriker blir designen förstörd, hjälp
WPBeginner Support
Det låter som att ditt tema kan ha en konflikt av någon anledning. Vi rekommenderar att du kontaktar ditt temas support för att se om de kan se grundorsaken till problemet.
Admin
Nigel Mcilwaine
Hej,
Tyvärr fungerade det inte för mig, inte ens efter att jag rensat min cache. Webbplatsen ligger på en Apache-server, kommer delad hosting att påverka framgången?
Med vänliga hälsningar
WPBeginner Support
Du bör troligen kontrollera med din hosting-leverantör för att säkerställa att de inte har någon cachning eller regel på sin sida som skulle orsaka problem med din säkerhetsrubrik.
Admin
Neil Cheesman
Hej
Jag har lagt till koden i .htaccess-filen men det har inte gjort någon skillnad… webbplatsen omdirigerar okej från HTTP till https men när jag testar får jag fortfarande meddelandet "HSTS-huvudet kunde inte hittas
i svarsrubrikerna".
WPBeginner Support
Glöm inte att rensa all cache på din webbplats, eftersom det är den vanligaste anledningen till det specifika felet efter att ha lagt till koden i din htaccess.
Admin
ed thomas
fungerade inte. har fortfarande:
Din webbplats skickar inte alla rekommenderade säkerhetsrubriker.
X-Content-Type-Options
X-Frame-Options
Permissions-Policy
WPBeginner Support
Du kanske vill kontrollera din cachning eftersom det är den vanligaste anledningen till att den inte uppdateras. Om du rensar din webbplats cache bör det tillåta att dina rubriker hittas.
Admin
Mark Downing
Tack för den mycket hjälpsamma artikeln. Vår webbplats gick från ett "F" till ett "B" utan några problem efter att jag klistrade in din kodsnutt i .htaccess.
WPBeginner Support
Glad our recommendation was helpful
Admin