WordPress. Заголовки безопасности (security headers)

Описание заголовков безопасности (security headers) сайта WordPress и добавление их в файл .htaccess по рекомендациям авторов плагина Really Simple SSL.

Заголовки безопасности WordPress

HTTP Strict Transport Security (HSTS)

Заголовок безопасности HSTS сообщает браузеру, что все запросы к сайту WordPress должны выполняться через HTTPS.

Строка заголовка HTTP Strict Transport Security:

Upgrade-Insecure-Requests

Заголовок безопасности Upgrade-Insecure-Requests является дополнительным методом принудительного выполнения запросов к сайту WordPress через HTTPS при обновлении.

Строка заголовка Upgrade-Insecure-Requests:

X-XSS-Protection

Заголовок безопасности X-XSS-Protection останавливает загрузку страниц при обнаружении вредоносного кода межсайтового скриптинга (XSS).

Строка заголовка X-XSS-Protection:

X-Content-Type-Options

Заголовок безопасности X-Content-Type-Options позволяет защитить сайт от атак с подменой типов MIME. Он указывает браузеру фильтровать передаваемые данные и передавать только те, которые по содержанию соответствуют расширению. Например, если расширение файла «.docx», браузер должен получить файл Word, а не какой-нибудь исполняемый файл, у которого расширение «.exe», «.bat» заменено на «.docx».

Строка заголовка X-Content-Type-Options:

Expect-CT (Certificate Transparency)

Заголовок безопасности Expect-CT (Certificate Transparency) сообщает браузеру, что он должен выполнить дополнительные проверки сертификата на подлинность по открытым журналам прозрачности сертификатов.

Строка заголовка Expect-CT (Certificate Transparency):

No Referrer When Downgrade

Заголовок безопасности No Referrer When Downgrade запрещает браузеру добавлять реферер при переходе на сайт с более низкой версией протокола (с HTTPS-сайта на HTTP-сайт).

Строка заголовка No Referrer When Downgrade:

X-Frame-Options

Заголовок безопасности X-Frame-Options предотвращает загрузку сайта в iframe. Использование этого заголовка заблокирует отображение вашего сайта WordPress в iframe на других сайтах.

Строка заголовка X-Frame-Options:

Если вы хотите, чтобы ваш сайт отображался в iframe на других сайтах, удалите эту строку из списка заголовков безопасности.

А если на вашем хостинге установлен X-Frame-Options по умолчанию, но вы хотите чтобы ваш сайт отображался в iframe на других сайтах, добавьте в список заголовков безопасности следующую строку:

Добавление заголовков безопасности

Добавление заголовков безопасности WordPress в файл .htaccess по рекомендациям авторов плагина Really Simple SSL:

  1. Сделайте резервную копию файла .htaccess на случай, если что-то пойдет не так.
  2. Добавьте в файл .htaccess блок заголовков безопасности после строки «# END WordPress»:

  1. Сохраните файл .htaccess на хостинге.

Заголовки безопасности WordPress
Если купить лицензию Pro на плагин Really Simple SSL, то заголовки безопасности можно будет добавить непосредственно через этот плагин.


Другие статьи:
WordPress. Изображение от размера экрана
WordPress. Создание рекламных баннеров
WordPress. Добавление кнопок в HTML-редактор
WordPress. Admitad Teleport Script (установка на сайт)

Наши сайты размещены на виртуальном хостинге от провайдеров Beget и Timeweb.

4 комментария для “WordPress. Заголовки безопасности (security headers)”

  1. Гавриил

    Спасибо. Долго искал везде не понятно было куда конкретно и в какой последовательности вставлять заголовки. Здесь все предельно ясно скопировал и вставил. Еще раз спасибо.

Добавить комментарий

Ваш комментарий будет опубликован после прохождения обязательной модерации. Исходящие ссылки не допускаются. Время модерации составит от нескольких минут до нескольких часов в зависимости от времени суток и занятости модератора.