Ochrona Twojej witryny WordPress przed zagrożeniami online jest kluczowa. Jednym ze sposobów, w jaki poprawiamy bezpieczeństwo w WPBeginner, jest używanie nagłówków bezpieczeństwa HTTP. Zapewniają one dodatkową warstwę bezpieczeństwa, działając jak tarcza przed powszechnymi atakami i lukami.
Nagłówki te działają w tle, instruując przeglądarki internetowe i serwery, jak obsługiwać dane Twojej strony internetowej i zwiększać jej ogólne bezpieczeństwo. Dodanie tych nagłówków jest prostym, ale skutecznym sposobem na wzmocnienie obrony Twojej strony i ochronę przed złośliwą aktywnością.
Ten przewodnik dla początkujących pokaże Ci, jak dodać nagłówki bezpieczeństwa HTTP w WordPress. Omówimy różne metody, w tym użycie wtyczek i ręczną edycję plików konfiguracyjnych.
Czym są nagłówki bezpieczeństwa HTTP?
Nagłówki bezpieczeństwa HTTP to środek bezpieczeństwa, który pozwala serwerowi Twojej witryny zapobiegać niektórym powszechnym zagrożeniom bezpieczeństwa, zanim zdążą one wpłynąć na Twoją witrynę.
Kiedy użytkownik odwiedza Twoją stronę internetową w WordPressie, Twój serwer WWW wysyła odpowiedź nagłówka HTTP do jego przeglądarki. Ta odpowiedź informuje przeglądarki o kodach błędów, kontroli pamięci podręcznej i innych statusach.
Normalna odpowiedź nagłówka wysyła status HTTP 200. Po tym Twoja strona internetowa ładuje się w przeglądarce użytkownika. Jednakże, jeśli Twoja strona internetowa ma problemy, serwer WWW może wysłać inny nagłówek HTTP.
Na przykład, może wysłać kod błędu 500 Internal Server Error lub 404 Not Found.
Nagłówki bezpieczeństwa HTTP to podzbiór tych nagłówków. Służą do ochrony stron internetowych przed powszechnymi zagrożeniami, takimi jak click-jacking, cross-site scripting, ataki brute force i inne.
Przyjrzyjmy się szybko kilku nagłówkom bezpieczeństwa HTTP i sposobom, w jakie chronią Twoją stronę WordPress:
- HTTP Strict Transport Security (HSTS) informuje przeglądarki internetowe, że Twoja witryna używa protokołu HTTPS i nie powinna być ładowana za pomocą niezabezpieczonego protokołu, takiego jak HTTP.
- Ochrona X-XSS pozwala blokować ładowanie skryptów między witrynami.
- X-Frame-Options zapobiega osadzaniu w ramkach między domenami lub atakom click-jacking.
- X-Content-Type-Options X-Content-Type-Options blokuje podsłuchiwanie typów MIME zawartości.
Nagłówki bezpieczeństwa HTTP działają najlepiej, gdy są ustawione na poziomie serwera WWW, co oznacza Twoje konto hostingu WordPress. Pozwala to na ich wczesne uruchomienie podczas typowego żądania HTTP i zapewnienie maksymalnych korzyści.
Działają jeszcze lepiej, jeśli używasz zapory sieciowej aplikacji internetowej na poziomie DNS, takiej jak Sucuri lub Cloudflare.
Mając to na uwadze, przyjrzyjmy się, jak łatwo dodać nagłówki bezpieczeństwa HTTP w WordPress. Oto szybkie linki do różnych metod, abyś mógł przejść do tej, która Ci odpowiada:
- Dodawanie nagłówków bezpieczeństwa HTTP w WordPress za pomocą Sucuri
- Dodawanie nagłówków HTTP zabezpieczeń w WordPress przy użyciu Cloudflare
- Dodawanie nagłówków bezpieczeństwa HTTP w WordPress za pomocą .htaccess
- Dodawanie nagłówków bezpieczeństwa HTTP w WordPress za pomocą AIOSEO
- Jak sprawdzić nagłówki bezpieczeństwa HTTP dla strony internetowej
- Poradniki ekspertów dotyczące bezpieczeństwa WordPress
1. Dodawanie nagłówków bezpieczeństwa HTTP w WordPress za pomocą Sucuri
Sucuri to jedna z najlepszych wtyczek zabezpieczeń WordPress na rynku. Jeśli korzystasz z ich usługi zapory sieciowej, możesz ustawić nagłówki HTTP zabezpieczeń bez pisania kodu.
Najpierw musisz zarejestrować się w Sucuri. Jest to płatna usługa, która obejmuje zapory sieciowe na poziomie serwera, wtyczkę bezpieczeństwa, CDN i gwarancję usunięcia złośliwego oprogramowania.
Podczas rejestracji będziesz musiał odpowiedzieć na proste pytania, a dokumentacja Sucuri pomoże Ci skonfigurować zaporę sieciową aplikacji internetowej na Twojej stronie.
Po zarejestrowaniu musisz zainstalować i aktywować darmowy plugin Sucuri. Więcej szczegółów znajdziesz w naszym przewodniku krok po kroku, jak zainstalować wtyczkę WordPress.
Po aktywacji musisz przejść do Sucuri Security » Firewall (WAF) i wprowadzić swój klucz API zapory sieciowej. Te informacje znajdziesz na swoim koncie na stronie Sucuri.
Następnie musisz kliknąć zielony przycisk „Zapisz”, aby zapisać zmiany.
Następnie musisz przejść do panelu swojego konta Sucuri. Stąd kliknij menu „Ustawienia” na górze, a następnie przejdź do zakładki „Bezpieczeństwo”.
Stąd możesz wybrać trzy zestawy reguł. Domyślna ochrona będzie dobrze działać dla większości stron internetowych.
Jeśli masz plan Professional lub Business, masz również opcje HSTS i HSTS Full. Możesz zobaczyć, które nagłówki bezpieczeństwa HTTP zostaną zastosowane dla każdego zestawu reguł.
Aby zastosować zmiany, musisz kliknąć przycisk „Zapisz zmiany w dodatkowych nagłówkach”.
Sucuri doda teraz wybrane nagłówki bezpieczeństwa HTTP w WordPress. Ponieważ jest to WAF na poziomie DNS, ruch na Twojej stronie jest chroniony przed hakerami, zanim jeszcze dotrze do Twojej witryny.
2. Dodawanie nagłówków bezpieczeństwa HTTP w WordPress przy użyciu Cloudflare
Cloudflare oferuje podstawową, darmową usługę zapory sieciowej i CDN dla stron internetowych. W darmowym planie brakuje zaawansowanych funkcji bezpieczeństwa, dlatego będziesz musiał uaktualnić do planu Pro, który jest droższy.
Możesz dowiedzieć się, jak dodać Cloudflare do swojej strony internetowej, postępując zgodnie z naszym poradnikiem jak skonfigurować darmowe CDN Cloudflare w WordPress.
Gdy Cloudflare będzie aktywny na Twojej stronie internetowej, musisz przejść do strony SSL/TLS w panelu konta Cloudflare, a następnie przełączyć się na zakładkę 'Certyfikaty Edge'.
Teraz przewiń w dół do sekcji „HTTP Strict Transport Security (HSTS)”.
Po jego znalezieniu, musisz kliknąć przycisk „Włącz HSTS”.
Spowoduje to wyświetlenie okna podręcznego z instrukcjami informującymi, że musisz włączyć HTTPS na swojej stronie internetowej przed użyciem tej funkcji.
Jeśli Twój blog WordPress ma już bezpieczne połączenie HTTPS, możesz kliknąć przycisk „Dalej”, aby kontynuować. Zobaczysz opcje dodawania nagłówków bezpieczeństwa HTTP.
Stąd możesz włączyć HSTS, zastosować HSTS do subdomen (jeśli subdomeny używają HTTPS), wstępnie załadować HSTS i włączyć nagłówek no-sniff.
Ta metoda zapewnia podstawową ochronę za pomocą nagłówków bezpieczeństwa HTTP. Jednak nie pozwala na dodanie X-Frame-Options, a Cloudflare nie ma interfejsu użytkownika do tego celu.
Nadal możesz to zrobić, tworząc skrypt za pomocą funkcji Cloudflare Workers. Nie zalecamy jednak tego, ponieważ tworzenie skryptu nagłówków bezpieczeństwa HTTPS może spowodować nieoczekiwane problemy dla początkujących.
3. Dodawanie nagłówków bezpieczeństwa HTTP w WordPress za pomocą .htaccess
Ta metoda pozwala na ustawienie nagłówków bezpieczeństwa HTTP w WordPress na poziomie serwera.
Wymaga to edycji pliku .htaccess na Twojej stronie internetowej. Ten plik konfiguracyjny serwera jest używany przez najczęściej stosowane oprogramowanie serwera internetowego Apache.
Uwaga: Przed wprowadzeniem jakichkolwiek zmian w plikach na swojej stronie internetowej zalecamy wykonanie kopii zapasowej.
Następnie po prostu połącz się ze swoją stroną internetową za pomocą klienta FTP lub menedżera plików w panelu sterowania hostingu. W folderze głównym Twojej strony internetowej musisz znaleźć plik .htaccess i go edytować.
Spowoduje to otwarcie pliku w edytorze zwykłego tekstu. Na dole pliku możesz dodać kod, aby dodać nagłówki bezpieczeństwa HTTPS do swojej witryny WordPress.
Możesz użyć poniższego przykładowego kodu jako punktu wyjścia. Ustawia on najczęściej używane nagłówki bezpieczeństwa HTTP z optymalnymi ustawieniami:
<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>
Nie zapomnij zapisać zmian i odwiedź swoją witrynę, aby upewnić się, że wszystko działa zgodnie z oczekiwaniami.
Uwaga: Zachowaj ostrożność podczas edycji kodu na swojej stronie internetowej. Nieprawidłowe nagłówki lub konflikty w pliku .htaccess mogą spowodować 500 Internal Server Error.
4. Dodawanie nagłówków bezpieczeństwa HTTP w WordPressie za pomocą AIOSEO
All in One SEO (AIOSEO) to najlepsze narzędzie SEO dla WordPress i cieszy się zaufaniem ponad 3 milionów firm. Wtyczka premium pozwala łatwo dodawać nagłówki bezpieczeństwa HTTP do Twojej witryny.
Pierwszą rzeczą, którą musisz zrobić, to zainstalować i aktywować wtyczkę AIOSEO na swojej stronie internetowej. Więcej informacji znajdziesz w naszym przewodniku krok po kroku na temat jak skonfigurować All in One SEO dla WordPressa.
Następnie musisz przejść do strony All in One SEO » Redirects, aby dodać nagłówki bezpieczeństwa HTTP. Najpierw musisz kliknąć przycisk „Aktywuj przekierowania”, aby włączyć tę funkcję.
Po włączeniu przekierowań musisz kliknąć zakładkę „Przekierowanie całej witryny”, a następnie przewinąć w dół do sekcji „Ustawienia kanoniczne”.
Po prostu włącz przełącznik „Ustawienia kanoniczne”, a następnie kliknij przycisk „Dodaj presety bezpieczeństwa”.
Zobaczysz predefiniowaną listę nagłówków bezpieczeństwa HTTP pojawiającą się w tabeli.
Te nagłówki są zoptymalizowane pod kątem bezpieczeństwa stron internetowych. Możesz je przeglądać i zmieniać w razie potrzeby.
Pamiętaj, aby kliknąć przycisk „Zapisz zmiany” na górze lub na dole ekranu, aby zapisać nagłówki bezpieczeństwa.
Możesz teraz odwiedzić swoją stronę internetową, aby upewnić się, że wszystko działa poprawnie.
Jak sprawdzić nagłówki bezpieczeństwa HTTP dla strony internetowej
Teraz, gdy dodałeś nagłówki bezpieczeństwa HTTP do swojej strony internetowej, możesz przetestować swoją konfigurację za pomocą darmowego narzędzia Security Headers.
Po prostu wprowadź adres URL swojej witryny i kliknij przycisk „Skanuj”.
Następnie sprawdzi nagłówki bezpieczeństwa HTTP dla Twojej witryny i wyświetli raport. Narzędzie wygeneruje również tzw. etykietę oceny, którą możesz zignorować, ponieważ większość witryn otrzyma ocenę B lub C bez wpływu na doświadczenie użytkownika.
Wyświetli, które nagłówki bezpieczeństwa HTTP są wysyłane przez Twoją witrynę, a które nie są uwzględnione. Jeśli nagłówki bezpieczeństwa, które chciałeś skonfigurować, są tam wymienione, to zakończyłeś.
Poradniki ekspertów dotyczące bezpieczeństwa WordPress
Mamy nadzieję, że ten artykuł pomógł Ci dowiedzieć się, jak dodać nagłówki bezpieczeństwa HTTP w WordPressie. Możesz również zapoznać się z innymi poradnikami dotyczącymi poprawy bezpieczeństwa Twojej strony WordPress:
- Kompleksowy przewodnik po zabezpieczeniach WordPress (krok po kroku)
- Jak przeprowadzić audyt bezpieczeństwa WordPress (kompletna lista kontrolna)
- Jak uzyskać darmowy certyfikat SSL dla swojej witryny WordPress (przewodnik dla początkujących)
- Najważniejsze powody, dla których strony WordPress są hakowane (& jak temu zapobiec)
- Jak zmienić prefiks bazy danych WordPress, aby poprawić bezpieczeństwo
- Najlepsze wtyczki bezpieczeństwa WordPress do ochrony Twojej witryny (porównanie)
- Najlepsze skanery bezpieczeństwa WordPress do wykrywania złośliwego oprogramowania i włamań
- Jak przeskanować swoją witrynę WordPress pod kątem potencjalnie złośliwego kodu
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.
Jiří Vaněk
Używam CloudFlare od momentu, gdy zacząłem prowadzić bloga, głównie ze względu na ich CDN i ochronę przed DDoS. Przeszedłem już przez konfigurację SSL z certyfikatami zarówno na moim serwerze, jak i na CloudFlare. Jednak istniały pewne ustawienia bezpieczeństwa, o których nie wiedziałem i których nie aktywowałem ze strachu przed zakłóceniem funkcjonalności mojej strony internetowej. To było jedno z nich. Dzięki temu artykułowi aktywowałem tę funkcję i teraz znacznie lepiej rozumiem jej cel. I oczywiście strona się nie zepsuła; nadal działa świetnie. Cieszę się, że podjąłem ten dodatkowy krok w celu zapewnienia bezpieczeństwa. Dziękuję więc za ten artykuł!
Holly Gough
Dziękuję za te informacje. Jasne, zwięzłe, łatwe do naśladowania instrukcje. Spędziłem ponad godzinę próbując naprawić problemy z nagłówkiem. Dziękuję!
Wsparcie WPBeginner
Cieszymy się, że nasz przewodnik mógł Ci pomóc!
Admin
Valerie
Dzięki. Solidne informacje, jak zwykle. Dziękuję za pomoc, zadziałało idealnie.
Wsparcie WPBeginner
Proszę bardzo, cieszę się, że nasz poradnik był pomocny!
Admin
Katrin
Gdzie w pliku .htacces mam umieścić kod? powyżej, pomiędzy # BEGIN WordPress czy za # END WordPress?
Wsparcie WPBeginner
You would want to put code between the begin and end WordPress
Admin
Michał Anioł
Dziękuję bardzo za ten artykuł! Bardzo pomógł.
I wish you the best and that your sleeves never slip during dishwashing
Wsparcie WPBeginner
Cieszymy się, że nasz artykuł był pomocny!
Admin
Karma Tsheten
Zadziałało u mnie, ale też zniszczyło mój projekt. Zawsze, gdy dodaję nagłówek bezpieczeństwa, projekt się psuje, czy ktoś może pomóc?
Wsparcie WPBeginner
Brzmi to tak, jakby Twój motyw z jakiegoś powodu mógł powodować konflikt. Zalecamy skontaktowanie się z pomocą techniczną Twojego motywu, aby sprawdzić, czy mogą oni zidentyfikować przyczynę problemu.
Admin
Nigel Mcilwaine
Cześć,
Niestety u mnie nie zadziałało, nawet po wyczyszczeniu pamięci podręcznej. Strona jest na serwerze Apache, czy współdzielony hosting wpłynie na sukces?
Pozdrawiam
Wsparcie WPBeginner
Prawdopodobnie warto skontaktować się z dostawcą hostingu, aby upewnić się, że nie mają oni buforowania ani reguły po swojej stronie, która mogłaby spowodować problem z nagłówkiem bezpieczeństwa.
Admin
Neil Cheesman
Cześć
Dodałem kod do pliku .htaccess, ale nic to nie zmieniło… strona internetowa poprawnie przekierowuje z HTTP do https, ale podczas testowania nadal otrzymuję komunikat „Nie można znaleźć nagłówka HSTS
w nagłówkach odpowiedzi”.
Wsparcie WPBeginner
Nie zapomnij wyczyścić pamięci podręcznej na swojej stronie, ponieważ jest to najczęstsza przyczyna tego konkretnego błędu po dodaniu kodu do pliku htaccess.
Admin
ed thomas
nie zadziałało. nadal mam:
Twoja witryna nie wysyła wszystkich zalecanych nagłówków bezpieczeństwa.
X-Content Type Options
X-Frame-Options
Permissions-Policy
Wsparcie WPBeginner
Możesz sprawdzić swoje buforowanie, ponieważ jest to najczęstszy powód, dla którego nie zostanie ono zaktualizowane. Jeśli wyczyścisz pamięć podręczną swojej witryny, powinno to pozwolić na znalezienie Twoich nagłówków.
Admin
Mark Downing
Dziękuję za bardzo pomocny artykuł. Nasza strona przeszła z oceny "F" na "B" bez żadnych problemów po tym, jak wkleiłem Twój fragment kodu do .htaccess.
Wsparcie WPBeginner
Glad our recommendation was helpful
Admin