您想在 WordPress 中添加 HTTP 安全标头吗?
HTTP 安全标头允许您为 WordPress 网站添加额外的安全层。它们可以帮助阻止常见的恶意活动影响您网站的性能。
在本初学者指南中,我们将向您展示如何在 WordPress 中添加 HTTP 安全标头。
什么是 HTTP 安全标头?
HTTP 安全标头是一种安全措施,可让您网站的服务器在某些常见安全威胁影响您的网站之前阻止它们。
当用户访问您的WordPress 网站时,您的网络服务器会向他们的浏览器发送 HTTP 标头响应。此响应告诉浏览器有关错误代码、缓存控制和其他状态的信息。
正常的标头响应发出一个称为 HTTP 200 的状态。在此之后,您的网站将加载到用户的浏览器中。但是,如果您的网站有问题,那么您的网络服务器可能会发送不同的 HTTP 标头。
例如,它可能会发送500 内部服务器错误或未找到 404 错误代码。
HTTP 安全标头是这些标头的子集。它们用于保护网站免受点击劫持、跨站点脚本、暴力攻击等常见威胁。
让我们快速浏览一些 HTTP 安全标头以及它们如何保护您的网站:
- HTTP 严格传输安全 (HSTS)告诉网络浏览器您的网站使用 HTTPS,不应使用 HTTP 等不安全协议加载。
- X-XSS Protection允许您阻止加载跨站点脚本。
- X-Frame-Options防止跨域 iframe 或点击劫持。
- X-Content-Type-Options X-Content-Type-Options 阻止内容 mime 类型嗅探。
HTTP 安全标头在 Web 服务器级别设置时效果最佳,这意味着您的WordPress 托管帐户。这允许它们在典型的 HTTP 请求期间及早被触发并提供最大的好处。
如果您使用Sucuri或 Cloudflare等DNS 级网站应用程序防火墙,它们的效果会更好。
话虽如此,让我们来看看如何在 WordPress 中轻松添加 HTTP 安全标头。以下是不同方法的快速链接,以便您可以跳转到适合您的方法:
- 使用 Sucuri 在 WordPress 中添加 HTTP 安全标头
- 使用 Cloudflare 在 WordPress 中添加 HTTP 安全标头
- 使用 .htaccess 在 WordPress 中添加 HTTP 安全标头
- 使用 AIOSEO 在 WordPress 中添加 HTTP 安全标头
- 如何检查网站的 HTTP 安全标头
1. 使用 Sucuri 在 WordPress 中添加 HTTP 安全标头
Sucuri是市场上最好的 WordPress 安全插件之一。如果您使用他们的网站防火墙服务,则无需编写任何代码即可设置 HTTP 安全标头。
首先,您需要注册一个Sucuri帐户。这是一项付费服务,附带服务器级网站防火墙、安全插件、CDN 和恶意软件清除保证。
在注册过程中,您需要回答简单的问题,Sucuri 文档将帮助您在您的网站上设置网站应用防火墙。
注册后,您必须安装并激活免费的Sucuri 插件。有关更多详细信息,请参阅我们关于如何安装 WordPress 插件的分步指南。
激活后,您需要转到Sucuri Security » Firewall (WAF)并输入您的防火墙 API 密钥。您可以在Sucuri网站上的帐户下找到此信息。
之后,您需要单击绿色的“保存”按钮来存储您的更改。
接下来,您必须切换到您的 Sucuri 帐户仪表板。从这里,单击顶部的“设置”菜单,然后切换到“安全”选项卡。
从这里,您可以选择三组规则。默认保护适用于大多数网站。
如果您有专业或商业计划,那么您还可以选择 HSTS 和 HSTS Full。您可以看到每组规则将应用哪些 HTTP 安全标头。
您需要单击“在其他标题中保存更改”按钮以应用您的更改。
Sucuri 现在将在 WordPress 中添加您选择的 HTTP 安全标头。由于它是 DNS 级 WAF,因此您的网站流量甚至在黑客到达您的网站之前就已受到保护。
2. 使用 Cloudflare 在 WordPress 中添加 HTTP 安全标头
Cloudflare提供基本的免费网站防火墙和 CDN 服务。它的免费计划中缺少高级安全功能,因此您需要升级到更昂贵的 Pro 计划。
您可以按照我们关于如何在 WordPress 中设置 Cloudflare 免费 CDN 的教程学习如何将 Cloudflare 添加到您的网站。
一旦 Cloudflare 在您的网站上处于活动状态,您必须转到 Cloudflare 帐户仪表板中的 SSL/TLS 页面,然后切换到“边缘证书”选项卡。
现在,向下滚动到“HTTP 严格传输安全 (HSTS)”部分。
找到它后,您需要单击“启用 HSTS”按钮。
这将弹出一个带有说明的弹出窗口,告诉您在使用此功能之前必须在您的网站上启用 HTTPS。
如果您的WordPress 博客已经有了安全的 HTTPS 连接,那么您可以单击“下一步”按钮继续。您将看到添加 HTTP 安全标头的选项。
从这里,您可以启用 HSTS,将 HSTS 应用于子域(如果子域使用 HTTPS),预加载 HSTS,并启用 no-sniff 标头。
此方法使用 HTTP 安全标头提供基本保护。但是,它不允许您添加 X-Frame-Options,而且 Cloudflare 没有用于执行此操作的用户界面。
您仍然可以通过使用Cloudflare Workers功能创建脚本来做到这一点。但是,我们不建议这样做,因为创建 HTTPS 安全标头脚本可能会给初学者带来意想不到的问题。
3. 使用 .htaccess 在 WordPress 中添加 HTTP 安全标头
此方法允许您在服务器级别设置 WordPress 中的 HTTP 安全标头。
它需要编辑您网站上的.htaccess 文件。这个服务器配置文件被最常用的 Apache 网络服务器软件使用。
注意:在对您网站上的文件进行任何更改之前,我们建议您进行备份。
接下来,只需使用 FTP 客户端或主机控制面板中的文件管理器连接到您的网站。在您网站的根文件夹中,您需要找到 .htaccess 文件并进行编辑。
这将在纯文本编辑器中打开文件。在文件底部,您可以添加一些代码以将 HTTPS 安全标头添加到您的 WordPress 网站。
您可以使用以下示例代码作为起点。它以最佳设置设置最常用的 HTTP 安全标头:
| 1个2个3个4个5个6个7 | <ifModule mod_headers.c>Header set Strict-Transport-Security "max-age=31536000" env=HTTPSHeader set X-XSS-Protection "1; mode=block"Header set X-Content-Type-Options nosniffHeader set X-Frame-Options DENYHeader set Referrer-Policy: no-referrer-when-downgrade</ifModule> |
不要忘记保存您的更改并访问您的网站以确保一切都按预期工作。
注意:在您的网站上编辑代码时要小心。.htaccess 文件中不正确的标头或冲突可能会触发500 Internal Server Error。
4. 使用 AIOSEO 在 WordPress 中添加 HTTP 安全标头
All in One SEO (AIOSEO) 是 适用于 WordPress 的最佳 SEO 工具 ,受到超过 300 万家企业的信赖。高级插件可让您轻松地将 HTTP 安全标头添加到您的网站。
您需要做的第一件事是在您的网站上安装并激活 AIOSEO 插件。您可以在我们关于如何为 WordPress 设置多合一 SEO 的分步指南中了解更多信息 。
然后,您需要前往All in One SEO » Redirects页面以添加 HTTP 安全标头。首先,您需要单击“激活重定向”按钮以启用该功能。
启用重定向后,您需要单击“全站重定向”选项卡,然后向下滚动到“规范设置”部分。
只需启用“规范设置”开关,然后单击“添加安全预设”按钮。
您将在表中看到预设的 HTTP 安全标头列表。
这些标头针对安全性进行了优化。如果需要,您可以查看和更改它们。
确保单击屏幕顶部或底部的“保存更改”按钮以存储安全标头。
您现在可以访问您的网站以确保一切正常。
如何检查网站的 HTTP 安全标头
现在您已将 HTTP 安全标头添加到您的网站,您可以使用免费的安全标头工具测试您的配置。
只需输入您的网站 URL,然后单击“扫描”按钮。
然后它将检查您网站的 HTTP 安全标头并向您显示报告。该工具还会生成一个所谓的等级标签,您可以忽略它,因为大多数网站都会获得 B 或 C 分数,而不会影响用户体验。
它将向您显示您的网站发送了哪些 HTTP 安全标头,哪些不包括在内。如果您要设置的安全标头列在那里,那么您就完成了。
