WordPress. Заголовки безопасности (security headers)

    Описание заголовков безопасности (security headers) сайта WordPress и добавление их в файл .htaccess по рекомендациям авторов плагина Really Simple SSL.

    Заголовки безопасности WordPress

    HTTP Strict Transport Security (HSTS)

    Заголовок безопасности HSTS сообщает браузеру, что все запросы к сайту WordPress должны выполняться через HTTPS.

    Строка заголовка HTTP Strict Transport Security:

    Upgrade-Insecure-Requests

    Заголовок безопасности Upgrade-Insecure-Requests является дополнительным методом принудительного выполнения запросов к сайту WordPress через HTTPS при обновлении.

    Строка заголовка Upgrade-Insecure-Requests:

    X-XSS-Protection

    Заголовок безопасности X-XSS-Protection останавливает загрузку страниц при обнаружении вредоносного кода межсайтового скриптинга (XSS).

    Строка заголовка X-XSS-Protection:

    X-Content-Type-Options

    Заголовок безопасности X-Content-Type-Options позволяет защитить сайт от атак с подменой типов MIME. Он указывает браузеру фильтровать передаваемые данные и передавать только те, которые по содержанию соответствуют расширению. Например, если расширение файла «.docx», браузер должен получить файл Word, а не какой-нибудь исполняемый файл, у которого расширение «.exe», «.bat» заменено на «.docx».

    Строка заголовка X-Content-Type-Options:

    Expect-CT (Certificate Transparency)

    Заголовок безопасности Expect-CT (Certificate Transparency) сообщает браузеру, что он должен выполнить дополнительные проверки сертификата на подлинность по открытым журналам прозрачности сертификатов.

    Строка заголовка Expect-CT (Certificate Transparency):

    No Referrer When Downgrade

    Заголовок безопасности No Referrer When Downgrade запрещает браузеру добавлять реферер при переходе на сайт с более низкой версией протокола (с HTTPS-сайта на HTTP-сайт).

    Строка заголовка No Referrer When Downgrade:

    X-Frame-Options

    Заголовок безопасности X-Frame-Options предотвращает загрузку сайта в iframe. Использование этого заголовка заблокирует отображение вашего сайта WordPress в iframe на других сайтах.

    Строка заголовка X-Frame-Options:

    Если вы хотите, чтобы ваш сайт отображался в iframe на других сайтах, удалите эту строку из списка заголовков безопасности.

    А если на вашем хостинге установлен X-Frame-Options по умолчанию, но вы хотите чтобы ваш сайт отображался в iframe на других сайтах, добавьте в список заголовков безопасности следующую строку:

    Добавление заголовков безопасности

    Добавление заголовков безопасности WordPress в файл .htaccess по рекомендациям авторов плагина Really Simple SSL:

    1. Сделайте резервную копию файла .htaccess на случай, если что-то пойдет не так.
    2. Добавьте в файл .htaccess блок заголовков безопасности после строки «# END WordPress»:

    1. Сохраните файл .htaccess на хостинге.

    Заголовки безопасности WordPress
    Если купить лицензию Pro на плагин Really Simple SSL, то заголовки безопасности можно будет добавить непосредственно через этот плагин.


    Другие статьи:
    WordPress. Изображение от размера экрана
    WordPress. Создание рекламных баннеров
    WordPress. Добавление кнопок в HTML-редактор
    WordPress. Admitad Teleport Script (установка на сайт)

    Наши сайты размещены на виртуальном хостинге от провайдеров Beget и Timeweb.

    4 комментария для “WordPress. Заголовки безопасности (security headers)”

    1. Гавриил

      Спасибо. Долго искал везде не понятно было куда конкретно и в какой последовательности вставлять заголовки. Здесь все предельно ясно скопировал и вставил. Еще раз спасибо.

    Добавить комментарий

    Ваш комментарий будет опубликован после прохождения обязательной модерации. Исходящие ссылки не допускаются. Время модерации составит от нескольких минут до нескольких часов в зависимости от времени суток и занятости модератора.