WordPress’te HTTP Güvenlik Başlığını Yapılandırma

Çoğu modern tarayıcı, WordPress sitenizin güvenliğini artırmak, ziyaretçilerinizi tıklama, çapraz yerinde komut dosyaları ve diğer genel saldırılar gibi tarayıcı saldırılarından daha iyi korumak için çeşitli HTTP güvenlik üstbilgileri destekler ve hatta site ziyaretçilerinizin gizliliğini arttırır. astar. Bu makale, HTTP’nin güvenlik üstbilgisinin ne olduğunu ve kapsamın ne olduğunu açıklayan bir genel bakış sunuyor. Ayrıca, WordPress web sitenizin güvenliğini artırmak için bu HTTP güvenlik başlığını web sitenize nasıl ekleyebileceğinizi de açıklar. HTTP Güvenlik Başlığı nedir? HTTP güvenlik başlıkları, web istemcileri (tarayıcı) ve web istemcileri ve sunucu istemcileri arasındaki HTTP iletişim güvenliği ile ilgili ayarları belirlemek için kullanılan web istemcileri (tarayıcı) ve web sunucuları arasında değiştirilen bir dizi http bir dizi başlıktır. WordPress sitenizdeki güvenlik başlıklarını etkinleştirmek, web sitenizin Cross -Site komut dosyaları (XSS) ve ClickJacking dahil olmak üzere genel saldırılara karşı direncini artırabilir.
HTTP güvenlik başlıklarının WordPress HTTP güvenlik başlıklarının güvenliğini nasıl artırabileceği, tarayıcıya çeşitli uygun güvenlik özelliklerini etkinleştirmesini öğreterek WordPress sitenizin güvenliğini artırmaya yardımcı olabilir. Birçok durumda, doğru başlığı uygulamak karmaşık bir iştir ve eski tarayıcıda farklı sonuçlar (veya tamamen etkisiz) olabilir, bu nedenle en iyi uygulama, sitede herhangi bir değişiklik uygulamadan önce test ortamında veya evrelemede herhangi bir değişiklik denemektir. WordPress doğrudan. Başlıklar tarafından kullanılan en yaygın HTTP güvenlik üstbilgisi nedir? En önemli ve yaygın olarak kullanılan güvenlik başlıklarından bazılarına genel bir bakış. HSTS başlıkları, ziyaret eden tarayıcılara her zaman Siteye HTTPS (HTTP değil) aracılığıyla erişmek için talimat verir, kullanıcılar (veya ortadaki insan saldırılarını gerçekleştirmeye çalışan saldırganlar) Siteye HTTP aracılığıyla erişmeye çalışsa bile, tarayıcı zorlayacaktır. HTTPS’ye geçmek için, HTTP mevcut olmasa bile – böyle bir şekilde, HST’leri yalnızca HTTPS’yi etkinleştirirseniz ve karışım içeriği ile ilgili sorunsuz bir şekilde tam olarak çalışırsanız 3 .
HTTP HTTP Sıkı Taşıma Güvenliği (HSTS) başlık yanıtı, 1 yıl boyunca HST’leri etkinleştirir (31536000 saniye).
Sıkı-İletiş Güvenliği: Max-Age = 31536000
HTTP İçerik Güvenliği-Policy Güvenlik Başlığı politikaları, birçok güçlü ve yapılandırmaya sahip HTTP başlıklarıdır. Modern tarayıcılarda bulunan ve siteler arası komut dosyası (XSS) ve veri enjeksiyon saldırıları gibi saldırıları tespit etmeye ve azaltmaya yardımcı olan ek güvenlik katmanları sağlayan bir dizi güvenlik özelliği olan Tarayıcı İçerik Güvenliği İlkesi’ni (CSP) yapılandırır. İçerik-Güvenlik Politikası (CSP), geliştirilmesi zor olduğu için de ünlüdür, çünkü uygun CSP ayarları ilgili web sitesine çok bağımlı olacaktır ve benzeri bir şekilde uygulanmadan önce yoğun olarak test edilmeli -Bir Sister-Report 4 HTTP başlığı yalnızca CSP’yi test etmek için kullanılır. Web sitesinin menşe yerinden varlıkların.
İçerik-Security-Policy: Varsayılan SRC ‘Self’
Ancak, içerik güvenliği politikaları (CSP) bu basit örnekte gösterilenlerden çok daha fazla yapılandırılmış olabilir. CSP, tarayıcının varlıkları (örneğin CSS, görüntüler ve yazı tipleri) yükleyebileceği kaynağı belirlemek için Scripts-SRC, Style-SRC ve IMG-SRC gibi diğer yönleri içerir. CSP’nin nasıl yapılandırılabileceğinin tam bir listesi için, içerik güvenliği politikasının referans kılavuzuna bakın.
X-Content-Type-Options HTTP X-Concent-Type-OPSations başlığı, MIME koklaması 5 . Varsa, bu başlık tarayıcıya HTTP başlık türü içeriğinde belirtilen MIME türünü kesinlikle takip etmesini söyler ve tarayıcı, yanıt verilerinin kendisi için doğru mime türünü algılamaya çalışmamalıdır. Üstbilgide bir yön-nosniff.x var
Eski veya kullanılmayan güvenlik üstbilgileri de kullanılır, ayrıca bir dizi eski HTTP güvenlik başlığı vardır ve kullanılmaz. Artık kullanılmıyor veya artık işlev görmüyorlar, çünkü bunlar tamamen terk edilmiş veya değiştirilmiş geçici iyileştirmeler, deneyler ve hatta standart dışı girişimler olarak tanıtılıyorlar. Aşağıda HTTP’nin güvenlik başlıklarının bir listesi bulunmaktadır.
HTTP Güvenlik Başlıkları, içerik-ikinci-politika-politika X-Frame-Options Güvenlik Başlıkları ile değiştirilir HTTP X-Frame-Options, artık Microsoft Internet Explorer tarafından ilk kez tanıtılan (ve çeşitli düzgünlük seviyelerine sahip diğer tarayıcılar tarafından benimsenmeyen başlıklardır. ve uyumluluk) tarayıcıyı siteler arası komut dosyası (XSS), tıklama ve iFrame’ye yerleştirilen web sitelerine dayanan diğer saldırılara karşı korumak için.
Bu başlığın yerini Framestor’un Framestor’un İçerik Güvenlik Politikası Direktifi (CSP) ile değiştirildi. X-Frame-Options yerinde CSP’nin direktif çerçeveleri ile kullanılması önerilir.
HTTP X-XSS koruma güvenlik üstbilgisinin X-XSS korunması, tarayıcı korumasını siteler arası komut dosyası (XSS) saldırılarına karşı etkinleştirmek veya devre dışı bırakmak için tanıtılan standart olmayan bir başlıktır. Uygulamada, bu başlık genellikle saldırgan tarafından kolayca geçirilir ve sonuç olarak çoğu modern tarayıcı tarafından göz ardı edilir. PIN-Kunci-Public HTTP genel anahtar-pins güvenlik başlıkları, TLS sertifikalarının sahtekarını önlemek için Google Chrome ve Firefox’ta tanıtılan genel anahtar sabitleme (HPKP) güvenlik özelliklerini yapılandırmak için kullanılır. HPKP, bir web sunucusundan bir tarayıcıdan, web sitesi tarafından kullanılan TLS sertifikasının genel anahtarından bir dizi kriptografik karma sağlamasını isteyerek çalışır ve daha sonra bir tarayıcı tarafından sunucudan aldıkları sertifikayı karşılaştırmak için kullanılacaktır. Sonraki istek. Sorun, HPKP’nin yönetilecek kadar karmaşık olması ve genellikle web sitesi erişimini tam olarak devre dışı bırakabilen yapılandırma hatalarına neden olmasıdır – bu nedenle tekrar kullanmanız önerilmez.
WordPress HTTP Güvenlik Üstbilgisi’ne HTTP Güvenlik Üstbilgisi Ekleme Web sunucunuzda yapılandırıldığında veya uygulanırsa, Ağ Dağıtım İçeriği (CDN) veya Web Uygulama Güvenlik Duvarınız. Bu, her istek için gönderilmelerini sağlar. Ya da ideal olmasa da, bu başlığı sizin için ayarlamak için WordPress eklentisini kullanabilirsiniz. Şimdi HTTP güvenlik başlıklarının amacını tartıştıktan sonra, WordPress sitenizde etkinleştirmenin bazı yolları. WordPress’te HTTP Güvenlik Üstbilgisi Ekle Aşağıdaki HTTP Sunucusu Apache, Apache HTTP Sunucusu için HTTP Sıkı Taşıma Güvenliği (HSTS), X-Content-Type-Options ve Basit İçerik Güvenlik Politikaları’nı etkinleştirmek için gereken bir yapılandırma örneğidir. .C & gt;

Başlık Set Strict-Transport-Transport “Max-age = 31536000”
Başlık Set X-Content-Type-Ops) “Nosniff”
Başlık Set İçerik-Security-Polic “Varsayılan SRC ‘Self'”
& lt;/ifmodule & gt;
WordPress’te HTTP Güvenlik Başlıkları Ekleme Nginx’i de kullanarak, aşağıdakiler, HTTP katı taşıma güvenliği (HSTS), X-Content-Tip-Opers ve basit içerik güvenliği politikalarını etkinleştirmek için gereken NGINX için bir yapılandırma örneğidir.
Sunucu {
Add_header Sıkı-İletiş-Güvenlik “Max-Age = 31536000; Daima;
Add_header x-concent-type-ops “nosniff” her zaman;
Add_header Content-Security-Polic “Varsayılan SRC ‘Self'” her zaman;
}
WordPress eklentileri kullanarak veya daha az etkili olmasına rağmen (başlığı değiştirmek için WordPress’e bağlı olduğu için) WordPress eklentisini kullanmak, WordPress eklentisini kullanmak, WordPress sitenize HTTP güvenlik başlıkları eklemenin en kolay yolu olabilir. Yeniden Yönlendirme eklentisi gibi eklentiler, web sitenize özel bir HTTP başlığı eklemenize olanak tanır. WordPress web sitenize HTTP güvenlik başlığını ekledikten sonra, web sitesi için http güvenlik başlığını nasıl kontrol edilir, başlığın yapılandırıldığından emin olmak isteyeceksiniz. doğru ve beklediğiniz gibi işlev görür. Bunu test etmenin en kolay yolu, güvenlik başlıkları ^{6 adlı ücretsiz bir araç kullanmaktır. Bir güvenlik başlığı kullanmak, web sitenize URL’nize girmek ve “Tarama” a basmak kadar kolaydır. Daha sonra, değerin nasıl belirlendiğine dair bir açıklama ile birlikte A+ ‘dan f’ye bir değer verilecektir.
Bu makalede kullanılan referanslar [+]}