Описание заголовков безопасности (security headers) сайта WordPress и добавление их в файл .htaccess по рекомендациям авторов плагина Really Simple SSL.
Заголовки безопасности WordPress
HTTP Strict Transport Security (HSTS)
Заголовок безопасности HSTS сообщает браузеру, что все запросы к сайту WordPress должны выполняться через HTTPS.
Строка заголовка HTTP Strict Transport Security:
|
1 |
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS |
Upgrade-Insecure-Requests
Заголовок безопасности Upgrade-Insecure-Requests является дополнительным методом принудительного выполнения запросов к сайту WordPress через HTTPS при обновлении.
Строка заголовка Upgrade-Insecure-Requests:
|
1 |
Header always set Content-Security-Policy "upgrade-insecure-requests" |
X-XSS-Protection
Заголовок безопасности X-XSS-Protection останавливает загрузку страниц при обнаружении вредоносного кода межсайтового скриптинга (XSS).
Строка заголовка X-XSS-Protection:
|
1 |
Header always set X-Content-Type-Options "nosniff" |
X-Content-Type-Options
Заголовок безопасности X-Content-Type-Options позволяет защитить сайт от атак с подменой типов MIME. Он указывает браузеру фильтровать передаваемые данные и передавать только те, которые по содержанию соответствуют расширению. Например, если расширение файла «.docx», браузер должен получить файл Word, а не какой-нибудь исполняемый файл, у которого расширение «.exe», «.bat» заменено на «.docx».
Строка заголовка X-Content-Type-Options:
|
1 |
Header always set X-XSS-Protection "1; mode=block" |
Expect-CT (Certificate Transparency)
Заголовок безопасности Expect-CT (Certificate Transparency) сообщает браузеру, что он должен выполнить дополнительные проверки сертификата на подлинность по открытым журналам прозрачности сертификатов.
Строка заголовка Expect-CT (Certificate Transparency):
|
1 |
Header always set Expect-CT "max-age=7776000, enforce" |
No Referrer When Downgrade
Заголовок безопасности No Referrer When Downgrade запрещает браузеру добавлять реферер при переходе на сайт с более низкой версией протокола (с HTTPS-сайта на HTTP-сайт).
Строка заголовка No Referrer When Downgrade:
|
1 |
Header always set Referrer-Policy: "no-referrer-when-downgrade" |
X-Frame-Options
Заголовок безопасности X-Frame-Options предотвращает загрузку сайта в iframe. Использование этого заголовка заблокирует отображение вашего сайта WordPress в iframe на других сайтах.
Строка заголовка X-Frame-Options:
|
1 |
Header always set X-Frame-Options SAMEORIGIN |
Если вы хотите, чтобы ваш сайт отображался в iframe на других сайтах, удалите эту строку из списка заголовков безопасности.
А если на вашем хостинге установлен X-Frame-Options по умолчанию, но вы хотите чтобы ваш сайт отображался в iframe на других сайтах, добавьте в список заголовков безопасности следующую строку:
|
1 |
Header always unset X-Frame-Options |
Добавление заголовков безопасности
Добавление заголовков безопасности WordPress в файл .htaccess по рекомендациям авторов плагина Really Simple SSL:
- Сделайте резервную копию файла .htaccess на случай, если что-то пойдет не так.
- Добавьте в файл .htaccess блок заголовков безопасности после строки «# END WordPress»:
|
1 2 3 4 5 6 7 8 9 |
# Заголовки безопасности Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS Header always set Content-Security-Policy "upgrade-insecure-requests" Header always set X-Content-Type-Options "nosniff" Header always set X-XSS-Protection "1; mode=block" Header always set Expect-CT "max-age=7776000, enforce" Header always set Referrer-Policy: "no-referrer-when-downgrade" Header always set X-Frame-Options SAMEORIGIN # Конец заголовков безопасности |
- Сохраните файл .htaccess на хостинге.
Если купить лицензию Pro на плагин Really Simple SSL, то заголовки безопасности можно будет добавить непосредственно через этот плагин.
Другие статьи:
WordPress. Изображение от размера экрана
WordPress. Создание рекламных баннеров
WordPress. Добавление кнопок в HTML-редактор
WordPress. Admitad Teleport Script (установка на сайт)
Наши сайты размещены на виртуальном хостинге от провайдеров Beget и Timeweb.
Спасибо. Долго искал везде не понятно было куда конкретно и в какой последовательности вставлять заголовки. Здесь все предельно ясно скопировал и вставил. Еще раз спасибо.
Плюс в карму!