Proteger seu site WordPress contra ameaças online é crucial. Uma maneira de melhorar a segurança no WPBeginner é usando cabeçalhos de segurança HTTP. Eles fornecem uma camada adicional de segurança, agindo como um escudo contra ataques e vulnerabilidades comuns.
Esses cabeçalhos funcionam nos bastidores, instruindo navegadores e servidores web sobre como lidar com os dados do seu site e aprimorar sua segurança geral. Adicionar esses cabeçalhos é uma maneira simples, porém eficaz, de fortalecer as defesas do seu site e proteger contra atividades maliciosas.
Este guia para iniciantes mostrará como adicionar cabeçalhos de segurança HTTP no WordPress. Cobriremos vários métodos, incluindo o uso de plugins e a edição manual de arquivos de configuração.
O que são cabeçalhos de segurança HTTP?
Cabeçalhos de segurança HTTP são uma medida de segurança que permite ao servidor do seu site prevenir algumas ameaças de segurança comuns antes que elas possam afetar seu site.
Quando um usuário visita seu site WordPress, seu servidor web envia uma resposta de cabeçalho HTTP para o navegador dele. Essa resposta informa aos navegadores sobre códigos de erro, controle de cache e outros status.
A resposta de cabeçalho normal emite um status chamado HTTP 200. Após isso, seu site é carregado no navegador do usuário. No entanto, se o seu site estiver com dificuldades, seu servidor web poderá enviar um cabeçalho HTTP diferente.
Por exemplo, ele pode enviar um erro interno do servidor 500 ou um código de erro 404 não encontrado.
Cabeçalhos de segurança HTTP são um subconjunto desses cabeçalhos. Eles são usados para proteger sites de ameaças comuns como click-jacking, cross-site scripting, ataques de força bruta e mais.
Vamos dar uma olhada rápida em alguns cabeçalhos de segurança HTTP e como eles protegem seu site WordPress:
- HTTP Strict Transport Security (HSTS) informa aos navegadores da web que seu site usa HTTPS e não deve ser carregado usando um protocolo inseguro como HTTP.
- X-XSS Protection permite que você bloqueie o carregamento de cross-site scripting.
- X-Frame-Options impede iframes entre domínios ou click-jacking.
- X-Content-Type-Options X-Content-Type-Options bloqueia a detecção de tipo MIME de conteúdo.
Cabeçalhos de segurança HTTP funcionam melhor quando definidos no nível do servidor web, o que significa sua conta de hospedagem WordPress. Isso permite que eles sejam acionados precocemente durante uma solicitação HTTP típica e forneçam o benefício máximo.
Eles funcionam ainda melhor se você estiver usando um firewall de aplicação web em nível de DNS como Sucuri ou Cloudflare.
Dito isso, vamos dar uma olhada em como adicionar facilmente cabeçalhos de segurança HTTP no WordPress. Aqui estão links rápidos para diferentes métodos para que você possa pular para o que mais lhe convém:
- Adicionando Cabeçalhos de Segurança HTTP no WordPress Usando Sucuri
- Adicionando Cabeçalhos de Segurança HTTP no WordPress Usando Cloudflare
- Adicionando Cabeçalhos de Segurança HTTP no WordPress Usando .htaccess
- Adicionando Cabeçalhos de Segurança HTTP no WordPress Usando AIOSEO
- Como Verificar Cabeçalhos de Segurança HTTP de um Site
- Guias de Especialistas sobre Segurança de WordPress
1. Adicionando Cabeçalhos de Segurança HTTP no WordPress Usando Sucuri
Sucuri é um dos melhores plugins de segurança para WordPress do mercado. Se você estiver usando o serviço de firewall do site deles, poderá definir cabeçalhos de segurança HTTP sem escrever nenhum código.
Primeiro, você precisará se inscrever para uma conta Sucuri. É um serviço pago que vem com um firewall de site em nível de servidor, plugin de segurança, CDN e garantia de remoção de malware.
Durante a inscrição, você precisará responder a perguntas simples, e a documentação da Sucuri o ajudará a configurar o firewall de aplicação do site em seu site.
Após a inscrição, você deve instalar e ativar o plugin Sucuri gratuito. Para mais detalhes, veja nosso guia passo a passo sobre como instalar um plugin do WordPress.
Após a ativação, você precisa ir para Sucuri Security » Firewall (WAF) e inserir sua chave de API do Firewall. Você pode encontrar essas informações em sua conta no site da Sucuri.
Depois disso, você precisará clicar no botão verde 'Salvar' para armazenar suas alterações.
Em seguida, você deve mudar para o painel da sua conta Sucuri. A partir daqui, clique no menu 'Configurações' no topo e, em seguida, mude para a aba 'Segurança'.
A partir daqui, você pode escolher três conjuntos de regras. A proteção padrão funcionará bem para a maioria dos sites.
Se você tiver um plano Profissional ou Empresarial, também terá opções para HSTS e HSTS Completo. Você pode ver quais cabeçalhos de segurança HTTP serão aplicados para cada conjunto de regras.
Você precisa clicar no botão 'Salvar Alterações nos Cabeçalhos Adicionais' para aplicar suas alterações.
A Sucuri agora adicionará seus cabeçalhos de segurança HTTP selecionados no WordPress. Como é um WAF em nível de DNS, o tráfego do seu site é protegido contra hackers antes mesmo de chegar ao seu site.
2. Adicionando Cabeçalhos de Segurança HTTP no WordPress Usando Cloudflare
Cloudflare oferece um firewall básico gratuito para sites e serviço de CDN. Ele carece de recursos avançgados de segurança em seu plano gratuito, então você precisará fazer upgrade para o plano Pro, que é mais caro.
Você pode aprender como adicionar o Cloudflare ao seu site seguindo nosso tutorial sobre como configurar o CDN gratuito Cloudflare no WordPress.
Assim que o Cloudflare estiver ativo em seu site, você deve ir para a página SSL/TLS no painel da sua conta Cloudflare e, em seguida, mudar para a aba ‘Edge Certificates’.
Agora, role para baixo até a seção ‘HTTP Strict Transport Security (HSTS)’.
Assim que encontrá-la, você precisa clicar no botão ‘Enable HSTS’.
Isso abrirá um pop-up com instruções dizendo que você deve ter o HTTPS habilitado em seu site antes de usar este recurso.
Se o seu blog WordPress já possui uma conexão HTTPS segura, então você pode clicar no botão ‘Next’ para continuar. Você verá as opções para adicionar cabeçalhos de segurança HTTP.
A partir daqui, você pode habilitar o HSTS, aplicar o HSTS a subdomínios (se os subdomínios estiverem usando HTTPS), pré-carregar o HSTS e habilitar o cabeçalho no-sniff.
Este método fornece proteção básica usando cabeçalhos de segurança HTTP. No entanto, ele não permite adicionar X-Frame-Options, e o Cloudflare não possui uma interface de usuário para fazer isso.
Você ainda pode fazer isso criando um script usando o recurso Cloudflare Workers. No entanto, não recomendamos isso porque criar um script de cabeçalho de segurança HTTPS pode causar problemas inesperados para iniciantes.
3. Adicionando Cabeçalhos de Segurança HTTP no WordPress Usando .htaccess
Este método permite definir os cabeçalhos de segurança HTTP no WordPress no nível do servidor.
Requer a edição do arquivo .htaccess do seu site. Este arquivo de configuração do servidor é usado pelo software de servidor web Apache, o mais comumente utilizado.
Observação: Antes de fazer quaisquer alterações nos arquivos do seu site, recomendamos fazer um backup.
Em seguida, basta se conectar ao seu site usando um cliente FTP ou o gerenciador de arquivos no painel de controle da sua hospedagem web. Na pasta raiz do seu site, você precisará encontrar o arquivo .htaccess e editá-lo.
Isso abrirá o arquivo em um editor de texto simples. Na parte inferior do arquivo, você pode adicionar algum código para adicionar cabeçalhos de segurança HTTPS ao seu site WordPress.
Você pode usar o seguinte código de exemplo como ponto de partida. Ele define os cabeçalhos de segurança HTTP mais usados com configurações ideais:
<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>
Não se esqueça de salvar suas alterações e visitar seu site para garantir que tudo esteja funcionando como esperado.
Observação: Tenha cuidado ao editar o código do seu site. Cabeçalhos incorretos ou conflitos no arquivo .htaccess podem acionar o Erro Interno do Servidor 500.
4. Adicionando Cabeçalhos de Segurança HTTP no WordPress Usando AIOSEO
All in One SEO (AIOSEO) é a melhor ferramenta de SEO para WordPress e é confiável por mais de 3 milhões de empresas. O plugin premium permite que você adicione facilmente cabeçalhos de segurança HTTP ao seu site.
A primeira coisa que você precisará fazer é instalar e ativar o plugin AIOSEO em seu site. Você pode aprender mais em nosso guia passo a passo sobre como configurar o All in One SEO para WordPress.
Em seguida, você precisará acessar a página All in One SEO » Redirects para adicionar os cabeçalhos de segurança HTTP. Primeiro, você precisará clicar no botão ‘Ativar Redirecionamentos’ para habilitar o recurso.
Uma vez que os redirecionamentos estejam habilitados, você precisa clicar na aba ‘Redirecionamento Completo do Site’ e, em seguida, rolar para baixo até a seção ‘Configurações Canônicas’.
Simplesmente habilite o alternador ‘Configurações Canônicas’ e, em seguida, clique no botão ‘Adicionar Predefinições de Segurança’.
Você verá uma lista predefinida de cabeçalhos de segurança HTTP aparecer na tabela.
Esses cabeçalhos são otimizados para a segurança do site. Você pode revisá-los e alterá-los, se necessário.
Certifique-se de clicar no botão ‘Salvar Alterações’ na parte superior ou inferior da tela para armazenar os cabeçalhos de segurança.
Agora você pode visitar seu site para garantir que tudo esteja funcionando bem.
Como Verificar Cabeçalhos de Segurança HTTP de um Site
Agora que você adicionou cabeçalhos de segurança HTTP ao seu site, pode testar sua configuração usando a ferramenta gratuita Security Headers.
Simplesmente insira o URL do seu site e clique no botão ‘Escanear’.
Em seguida, ele verificará os cabeçalhos de segurança HTTP do seu site e mostrará um relatório. A ferramenta também gerará um chamado rótulo de nota, que você pode ignorar, pois a maioria dos sites obterá uma pontuação B ou C sem afetar a experiência do usuário.
Ele mostrará quais cabeçalhos de segurança HTTP são enviados pelo seu site e quais não estão incluídos. Se os cabeçalhos de segurança que você queria configurar estiverem listados lá, então você terminou.
Guias de Especialistas sobre Segurança de WordPress
Esperamos que este artigo tenha ajudado você a aprender como adicionar cabeçalhos de segurança HTTP no WordPress. Você também pode querer ver outros guias relacionados à melhoria da segurança do seu site WordPress:
- O Guia Definitivo de Segurança do WordPress (Passo a Passo)
- Como Realizar uma Auditoria de Segurança do WordPress (Checklist Completo)
- Como Obter um Certificado SSL Gratuito para o Seu Site WordPress (Guia para Iniciantes)
- Principais Motivos Pelos Quais Sites WordPress São Hackeados (& Como Evitar)
- Como Alterar o Prefixo do Banco de Dados do WordPress para Melhorar a Segurança
- Melhores Plugins de Segurança do WordPress para Proteger Seu Site (Comparados)
- Melhores Scanners de Segurança do WordPress para Detectar Malware e Hacks
- Como Escanear Seu Site WordPress em Busca de Código Potencialmente Malicioso
Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Jiří Vaněk
Eu uso o CloudFlare desde que comecei meu blog, principalmente para o CDN e proteção contra DDoS. Eu já passei pela configuração de SSL com certificados tanto no meu servidor quanto no CloudFlare. No entanto, havia algumas configurações de segurança que eu não conhecia e não ativava por medo de interromper a funcionalidade do meu site. Esta foi uma delas. Graças a este artigo, ativei o recurso e agora entendo seu propósito muito melhor. E, claro, o site não quebrou; ele continua funcionando muito bem. Fico feliz por ter dado este passo extra pela segurança. Então, obrigado por este artigo!
Holly Gough
Grato por esta informação. Instruções claras, concisas e fáceis de seguir. Passei mais de uma hora tentando corrigir os problemas do cabeçalho. Obrigado!
WPBeginner Support
Ficamos felizes que nosso guia pôde te ajudar!
Admin
Valerie
Obrigado. Informação sólida como sempre. Obrigado pela sua ajuda, funcionou perfeitamente.
WPBeginner Support
De nada, ficamos felizes que nosso guia tenha sido útil!
Admin
Katrin
Onde no .htacces eu tenho que colocar o código? acima, entre # BEGIN WordPress ou atrás de # END WordPress?
WPBeginner Support
You would want to put code between the begin and end WordPress
Admin
Michelangelo
Muito obrigado por este artigo! Ajudou muito.
I wish you the best and that your sleeves never slip during dishwashing
WPBeginner Support
Ficamos felizes que nosso artigo tenha sido útil!
Admin
Karma Tsheten
Funcionou para mim, mas também destruiu meu design. Sempre que adiciono um cabeçalho de segurança, o design fica estragado, alguma ajuda?
WPBeginner Support
Isso parece ser um conflito com o seu tema por algum motivo. Recomendamos que você entre em contato com o suporte do seu tema para ver se eles conseguem identificar a raiz do problema.
Admin
Nigel Mcilwaine
Olá,
Infelizmente não funcionou para mim, mesmo depois de limpar meu cache. O site está em um servidor Apache, hospedagem compartilhada vai afetar o sucesso?
Abraços
WPBeginner Support
Você provavelmente deve verificar com seu provedor de hospedagem para garantir que eles não tenham um cache ou uma regra em seu sistema que possa causar um problema com seu cabeçalho de segurança.
Admin
Neil Cheesman
Olá
Adicionei o código ao arquivo .htaccess, mas não fez diferença alguma… o site redireciona corretamente de HTTP para https, mas ao testar ainda recebo a mensagem “Não foi possível encontrar o cabeçalho HSTS
nos cabeçalhos de resposta.”
WPBeginner Support
Não se esqueça de limpar qualquer cache do seu site, pois esse é o motivo mais comum para esse erro específico após adicionar o código ao seu htaccess.
Admin
ed thomas
não funcionou. ainda tenho:
Seu site não envia todos os cabeçalhos de segurança recomendados.
X-Content Type Options
X-Frame-Options
Permissions-Policy
WPBeginner Support
Você pode querer verificar seu cache, pois esse é o motivo mais comum para ele não ser atualizado. Se você limpar o cache do seu site, isso permitirá que seus cabeçalhos sejam encontrados.
Admin
Mark Downing
Obrigado pelo artigo muito útil. Nosso site passou de um "F" para um "B" sem falhas depois que colei seu trecho de código em .htaccess.
WPBeginner Support
Glad our recommendation was helpful
Admin