如何在WordPress中添加HTTP安全標頭(入門指南)


您是否要在WordPress中添加HTTP安全標頭?

HTTP安全標頭使您可以為WordPress網站添加額外的安全層。 它們可以幫助阻止常見的惡意活動影響您的網站性能。

在此初學者指南中,我們將向您展示如何在WordPress中輕鬆添加HTTP安全標頭。

在WordPress中添加HTTP安全標頭

什麼是HTTP安全標頭?

HTTP安全標頭是一種安全措施,可讓您的網站服務器在影響您的網站之前阻止一些常見的安全威脅。

基本上,當用戶訪問您的網站時,您的Web服務器會將HTTP標頭響應發送回他們的瀏覽器。 該響應告訴瀏覽器有關錯誤代碼,緩存控制和其他狀態的信息。

正常的標頭響應會發出狀態為HTTP 200的消息。之後,您的網站會加載到用戶的瀏覽器中。 但是,如果您的網站出現問題,則您的網絡服務器可能會發送其他HTTP標頭。

例如,它可能會發送500個內部服務器錯誤或找不到的404錯誤代碼。

HTTP安全標頭是這些標頭的子集,用於防止網站遭受常見的威脅,例如單擊劫持,跨站點腳本,暴力攻擊等。

讓我們快速瀏覽一下HTTP安全標頭的外觀以及它們如何保護您的網站。

HTTP嚴格傳輸安全性(HSTS)

HTTP嚴格傳輸安全(HSTS)標頭告訴Web瀏覽器您的網站使用HTTP,並且不應使用HTTP這樣的不安全協議進行加載。

如果您已將WordPress網站從HTTP移到HTTPs,則此安全標頭可讓您停止瀏覽器通過HTTP加載網站。

X-XSS保護

X-XSS Protection標頭允許您阻止跨站點腳本加載到WordPress網站上。

X框架選項

X-Frame-Options安全標頭可防止跨域iframe或點擊劫持。

X內容類型選項

X-Content-Type-Options阻止內容mime類型的嗅探。

話雖如此,讓我們看一下如何輕鬆地在WordPress中添加HTTP安全標頭。

在WordPress中添加HTTP安全標頭

在網絡服務器級別設置HTTP安全頭(即WordPress託管帳戶)時,它們的工作效果最佳。 這使它們可以在典型的HTTP請求中儘早觸發,並提供最大的收益。

如果您使用的是DNS級別的網站應用程序防火牆(如Sucuri或Cloudflare),它們甚至可以更好地工作。 我們將向您展示每種方法,您可以選擇最適合自己的一種。

以下是指向不同方法的快速鏈接,您可以跳至適合您的方法。

1.使用Sucuri在WordPress中添加HTTP安全標頭

Sucuri是市場上最好的WordPress安全插件。 如果您還使用他們的網站防火牆服務,則可以設置HTTP安全標頭,而無需編寫任何代碼。

首先,您需要註冊一個Sucuri帳戶。 它是一項付費服務,帶有服務器級網站防火牆,安全插件,CDN和惡意軟件清除保證。

在註冊過程中,您將回答簡單的問題,Sucuri文檔將幫助您在網站上設置網站應用程序防火牆。

註冊後,您需要安裝並激活免費的Sucuri插件。 有關更多詳細信息,請參閱有關如何安裝WordPress插件的分步指南。

激活後,轉到 Sucuri安全性»防火牆(WAF) 頁,然後輸入您的防火牆API密鑰。 您可以在Sucuri網站上的帳戶下找到此信息。

Sucuri WAF API密鑰

單擊保存按鈕以存儲您的更改。

接下來,您需要切換到Sucuri帳戶儀表板。 在此處,單擊頂部的“設置”菜單,然後切換到“安全性”選項卡。

在Sucuri中設置HTTP安全標頭

在這裡,您可以選擇三套規則。 默認保護為HSTS和HSTS Full。 您將看到哪些HTTP安全標頭將應用於每組規則。

單擊“在其他標題中保存更改”按鈕以應用更改。

就是這樣,Sucuri現在將在WordPress中添加您選擇的HTTP安全標頭。 由於它是DNS級別的WAF,因此即使在黑客到達您的網站之前,也可以保護您的網站流量免受黑客的攻擊。

2.使用Cloudflare在WordPress中添加HTTP安全標頭

Cloudflare提供了基本的免費網站防火牆和CDN服務。 它的免費計劃中缺少高級安全功能,因此您需要升級到價格更高的專業計劃。

要在您的網站上添加Cloudflare,請參閱有關如何在WordPress中添加Cloudflare免費CDN的教程。

一旦Cloudflare在您的網站上處於活動狀態,請轉到Cloudflare帳戶信息中心下的SSL / TLS頁面,然後切換到“邊緣證書”選項卡。

在Cloudflare中設置HTTPS安全標頭

現在,向下滾動到“ HTTP嚴格傳輸安全性(HSTS)”部分,然後單擊“啟用HSTS”按鈕。

在Cloudflare上啟用HSTS

這將彈出一個彈出窗口,其中包含說明,告訴您在使用此功能之前必須在WordPress博客上啟用HTTPS。 單擊下一步按鈕繼續,您將看到添加HTTP安全標頭的選項。

在Cloudflare中啟用HTTPS安全標頭

從這裡,您可以啟用HSTS,no-sniff標頭,將HSTS應用於子域(如果它們使用的是HTTPS)並預加載HSTS。

此方法使用HTTP安全標頭提供基本保護。 但是,它不允許您添加X-Frame-Options,並且Cloudflare沒有用戶界面可以執行此操作。

您仍然可以通過使用Workers功能創建腳本來做到這一點。 但是,創建HTTPS安全標頭腳本可能會給初學者帶來意外的問題,這就是我們不推薦這樣做的原因。

3.使用.htaccess在WordPress中添加HTTP安全標頭

此方法允許您在服務器級別在WordPress中設置HTTP安全標頭。

它要求您編輯網站上的.htaccess文件。 它是最常用的Apache Web服務器軟件使用的服務器配置文件。

只需使用FTP客戶端或託管控制面板中的文件管理器應用程序連接到您的網站。 在您網站的根文件夾中,您需要找到.htaccess文件並進行編輯。

在WordPress中編輯.htaccess文件

這將在純文本編輯器中打開文件。 在文件底部,您可以添加代碼以將HTTPS安全標頭添加到WordPress網站。

您可以使用以下示例代碼作為起點,它使用最佳設置設置最常用的HTTPs安全標頭:


Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade

不要忘記保存您的更改並訪問您的網站,以確保一切正常。

筆記: 錯誤的標題或.htaccess文件中的衝突可能會在大多數Web主機上觸發500內部服務器錯誤。

4.使用插件在WordPress中添加HTTP安全標頭

這種方法效果不佳,因為它依賴WordPress插件來修改標頭。 但是,這也是向您的WordPress網站添加HTTP安全標頭的最簡單方法。

首先,您需要安裝並激活重定向插件。 有關更多詳細信息,請參閱有關如何安裝WordPress插件的分步指南。

激活後,插件將顯示一個設置嚮導,您可以按照該嚮導進行設置。 之後,前往 工具»重定向 頁並切換到“站點”標籤。

重定向插件中的站點設置

接下來,您需要向下滾動到頁面底部的“ HTTP標頭”部分,然後單擊“添加標頭”按鈕。 從下拉菜單中,您需要選擇“添加安全性預設”選項。

使用重定向添加標題預設

之後,您將需要再次單擊以添加這些選項。 現在,您將看到一個HTTP安全標頭的預設列表出現在表中。

HTTP安全標頭預設

這些標題針對安全性進行了優化,您可以對其進行查看並在需要時進行更改。 完成後,請不要忘記單擊“更新”按鈕以保存您的更改。

現在,您可以訪問您的網站,以確保一切正常。

如何檢查網站的HTTP安全標頭

現在,您已將HTTP安全標頭添加到您的網站。 您可以使用免費的“安全標題”工具測試您的配置。 只需輸入您的網站URL,然後單擊“掃描”按鈕。

檢查您的WordPress安全標頭

然後它將檢查您網站的HTTP安全標頭,並向您顯示報告。 該工具將生成一個所謂的成績標籤,您可以忽略該標籤,因為大多數網站最多會獲得B或C評分,而不會影響用戶體驗。

它將顯示您的網站發送了哪些HTTP安全標頭,並且不包含哪些安全標頭。 如果您要設置的安全標頭在此處列出,則說明您已完成。

僅此而已,我們希望本文能幫助您學習如何在WordPress中添加HTTP安全標頭。 您可能還想查看我們完整的WordPress安全指南,以及我們為商業網站選擇的最佳WordPress插件的專家。

如果您喜歡這篇文章,請訂閱我們的YouTube頻道WordPress視頻教程。 您也可以在以下位置找到我們 推特 和Facebook。