Описание заголовков безопасности (security headers) сайта WordPress и добавление их в файл .htaccess по рекомендациям авторов плагина Really Simple SSL.
Заголовки безопасности WordPress
HTTP Strict Transport Security (HSTS)
Заголовок безопасности HSTS сообщает браузеру, что все запросы к сайту WordPress должны выполняться через HTTPS.
Строка заголовка HTTP Strict Transport Security:
1 |
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS |
Upgrade-Insecure-Requests
Заголовок безопасности Upgrade-Insecure-Requests является дополнительным методом принудительного выполнения запросов к сайту WordPress через HTTPS при обновлении.
Строка заголовка Upgrade-Insecure-Requests:
1 |
Header always set Content-Security-Policy "upgrade-insecure-requests" |
X-XSS-Protection
Заголовок безопасности X-XSS-Protection останавливает загрузку страниц при обнаружении вредоносного кода межсайтового скриптинга (XSS).
Строка заголовка X-XSS-Protection:
1 |
Header always set X-Content-Type-Options "nosniff" |
X-Content-Type-Options
Заголовок безопасности X-Content-Type-Options позволяет защитить сайт от атак с подменой типов MIME. Он указывает браузеру фильтровать передаваемые данные и передавать только те, которые по содержанию соответствуют расширению. Например, если расширение файла «.docx», браузер должен получить файл Word, а не какой-нибудь исполняемый файл, у которого расширение «.exe», «.bat» заменено на «.docx».
Строка заголовка X-Content-Type-Options:
1 |
Header always set X-XSS-Protection "1; mode=block" |
Expect-CT (Certificate Transparency)
Заголовок безопасности Expect-CT (Certificate Transparency) сообщает браузеру, что он должен выполнить дополнительные проверки сертификата на подлинность по открытым журналам прозрачности сертификатов.
Строка заголовка Expect-CT (Certificate Transparency):
1 |
Header always set Expect-CT "max-age=7776000, enforce" |
No Referrer When Downgrade
Заголовок безопасности No Referrer When Downgrade запрещает браузеру добавлять реферер при переходе на сайт с более низкой версией протокола (с HTTPS-сайта на HTTP-сайт).
Строка заголовка No Referrer When Downgrade:
1 |
Header always set Referrer-Policy: "no-referrer-when-downgrade" |
Добавление заголовков безопасности
Добавление заголовков безопасности WordPress в файл .htaccess по рекомендациям авторов плагина Really Simple SSL:
- Сделайте резервную копию файла .htaccess на случай, если что-то пойдет не так.
- Добавьте в файл .htaccess блок заголовков безопасности после строки «# END WordPress»:
1 2 3 4 5 6 7 8 |
# Заголовки безопасности Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS Header always set Content-Security-Policy "upgrade-insecure-requests" Header always set X-Content-Type-Options "nosniff" Header always set X-XSS-Protection "1; mode=block" Header always set Expect-CT "max-age=7776000, enforce" Header always set Referrer-Policy: "no-referrer-when-downgrade" # Конец заголовков безопасности |
- Сохраните файл .htaccess на хостинге.
Если купить лицензию Pro на плагин Really Simple SSL, то заголовки безопасности можно будет добавить непосредственно через этот плагин.
Спасибо. Долго искал везде не понятно было куда конкретно и в какой последовательности вставлять заголовки. Здесь все предельно ясно скопировал и вставил. Еще раз спасибо.