WordPress. Заголовки безопасности (security headers)

Описание заголовков безопасности (security headers) сайта WordPress и добавление их в файл .htaccess по рекомендациям авторов плагина Really Simple SSL.

Заголовки безопасности WordPress

HTTP Strict Transport Security (HSTS)

Заголовок безопасности HSTS сообщает браузеру, что все запросы к сайту WordPress должны выполняться через HTTPS.

Строка заголовка HTTP Strict Transport Security:

Upgrade-Insecure-Requests

Заголовок безопасности Upgrade-Insecure-Requests является дополнительным методом принудительного выполнения запросов к сайту WordPress через HTTPS при обновлении.

Строка заголовка Upgrade-Insecure-Requests:

X-XSS-Protection

Заголовок безопасности X-XSS-Protection останавливает загрузку страниц при обнаружении вредоносного кода межсайтового скриптинга (XSS).

Строка заголовка X-XSS-Protection:

X-Content-Type-Options

Заголовок безопасности X-Content-Type-Options позволяет защитить сайт от атак с подменой типов MIME. Он указывает браузеру фильтровать передаваемые данные и передавать только те, которые по содержанию соответствуют расширению. Например, если расширение файла «.docx», браузер должен получить файл Word, а не какой-нибудь исполняемый файл, у которого расширение «.exe», «.bat» заменено на «.docx».

Строка заголовка X-Content-Type-Options:

Expect-CT (Certificate Transparency)

Заголовок безопасности Expect-CT (Certificate Transparency) сообщает браузеру, что он должен выполнить дополнительные проверки сертификата на подлинность по открытым журналам прозрачности сертификатов.

Строка заголовка Expect-CT (Certificate Transparency):

No Referrer When Downgrade

Заголовок безопасности No Referrer When Downgrade запрещает браузеру добавлять реферер при переходе на сайт с более низкой версией протокола (с HTTPS-сайта на HTTP-сайт).

Строка заголовка No Referrer When Downgrade:

Добавление заголовков безопасности

Добавление заголовков безопасности WordPress в файл .htaccess по рекомендациям авторов плагина Really Simple SSL:

  1. Сделайте резервную копию файла .htaccess на случай, если что-то пойдет не так.
  2. Добавьте в файл .htaccess блок заголовков безопасности после строки «# END WordPress»:

  1. Сохраните файл .htaccess на хостинге.

Заголовки безопасности WordPress
Если купить лицензию Pro на плагин Really Simple SSL, то заголовки безопасности можно будет добавить непосредственно через этот плагин.

1 комментарий для “WordPress. Заголовки безопасности (security headers)”

  1. Гавриил

    Спасибо. Долго искал везде не понятно было куда конкретно и в какой последовательности вставлять заголовки. Здесь все предельно ясно скопировал и вставил. Еще раз спасибо.

Добавить комментарий

Ваш комментарий будет опубликован после прохождения обязательной модерации. Исходящие ссылки не допускаются. Время модерации составит от нескольких минут до нескольких часов в зависимости от времени суток и занятости модератора.