首页如何保护WordPress中的HTTP标头

保护WordPress中的HTTP标头

下面我们将看到如何(尽可能多地)保护正在使用的WordPress标头。 安全的HTTP标头将通过关闭一些漏洞来帮助增强WordPress抵御攻击的能力。

通过将以下代码添加到位于themes文件夹中的functions.php文件中,可以在您的网站上实现总共6个HTTP标头。

WordPress

内容安全政策或(CSP)

CSP策略有助于抵御XSS攻击,并且将白名单用于授权的内容源,如脚本,css和图像。 安全的内容安全策略可以防止您的浏览器加载恶意脚本和其他项目。

不幸的是,没有适合所有网站的代码。 在创建自己的CSP之前,您需要评估它们真正需要加载的资源。 当然要创建它 您应该阅读自己的政策,如果您要根据自己的要求制定政策。

您的CSP可以添加到functions.php文件中。

您可以尝试添加以下行:

标头('Content-Security-Policy:default-src \'self \'\'unsafe-inline \'\'unsafe-eval \'https:data:');

他在做什么; 上述CSP允许来自您自己的域“自我”的所有类型的文件。 “ Unsafe-inline”允许所有(内联)css和脚本,“ unsafe-eval”表示允许使用任何不安全的动态代码,例如JS。 “ https”和“ data”标签仅允许通过HTTPS上传资源。 如果您不使用HTTPS,则将HTTP留空。

X-框架,选项

此标头通过告诉浏览器无法在框架(框架或iframe)中加载页面,从而有助于防止Clickjacking。

将以下策略添加到您的functions.php中,如下所示:

标头('X-Frame-Options:SAMEORIGIN');

X-XSS保护和X内容类型选项

X-XSS-Protection有助于防止跨站点脚本(XSS)攻击,并且X-Content-Type-Options指示IE不要嗅探mime类型。 需要此标头来防止与mime嗅探相关的攻击。

再次添加到您的functions.php中:

标头('X-XSS-Protection:1; mode = block'); 标头('X-Content-Type-Options:nosniff');

HTTP严格传输安全(HSTS)

HSTS是服务器告知浏览器它们仅应通过HTTPS与服务器通信的一种方式。 如果您不使用HTTPS,请跳过以下步骤。

将以下代码添加到functions.php中:

标头('Strict-Transport-Security:max-age = 31536000; includeSubdomains; preload');

将具有HTTPOnly和Secure标志的Cookie添加到WordPress

此命令告诉浏览器仅信任来自服务器的cookie,并且可以通过安全SSL通道访问该cookie。

将此添加到您的functions.php文件中:

@ini_set('session.cookie_httponly',true); @ini_set('session.cookie_secure',true); @ini_set('session.use_only_cookies',true);

以上所有:

标头('Content-Security-Policy:default-src \'self \'\'unsafe-inline \'\'unsafe-eval \'https:data:'); 标头('X-Frame-Options:SAMEORIGIN'); 标头('X-XSS-Protection:1; mode = block'); 标头('X-Content-Type-Options:nosniff'); 标头('Strict-Transport-Security:max-age = 31536000; includeSubdomains; preload'); @ini_set('session.cookie_httponly',true); @ini_set('session.cookie_secure',true); @ini_set('session.use_only_cookies',true);

WordPress

保护HTTP标头的另一种方法是通过.htaccess文件。 以下是您可以添加到WordPress中的.htaccess文件中的代码:

标头集Strict-Transport-Security“最大年龄= 31536000; includeSubDomains”标头集X-XSS-Protection“ 1; mode = block”标头集X-Frame-Options“ sameorigin”标头集X-Content-Type-Options“ nosniff“标头设置了内容安全策略” default-src'self''unsafe-inline''unsafe-eval'https:data:“;

或者,您可以通过在WordPress存储库中搜索“安全标题”来使用各种可用的插件。

您可以尝试从页面添加的HTTP安全标头 https://securityheaders.io.

SecNewshttps://www.secnews.gr
在没有栅栏和墙壁的世界中,谁需要盖茨和窗户

实时新闻