在.htaccess中添加安全标头以实现WordPress安全

时间:2019-05-24 18:14:02

标签: wordpress .htaccess security

我是WordPress安全的新手,我想提高我的网上商店的(woocommerce)安全性。 我对https://sitecheck.sucuri.net/进行了站点检查 我的安全风险较低,我认为还可以。 但建议以下内容: 将这些安全标头放入.htaccess

XSS保护:

<IfModule mod_headers.c>
  Header set X-XSS-Protection "1; mode=block"
</IfModule>

X内容类型:nosniff 

<IfModule mod_headers.c>
  Header set X-Content-Type-Options nosniff
</IfModule>

和Strict-Transport-Security安全标头。我不知道将建议的最后一个放在哪里:

Strict-Transport-Security: max-age=<expire-time>
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains
Strict-Transport-Security: max-age=<expire-time>; preload

1)我对上面所有这些标头的问题:我可以将这些标头保存到我的.htaccess文件中吗?还是有什么缺点?

2)我想我还将添加itheme安全插件。还是webARX?

非常感谢您的帮助。谢谢

2 个答案:

答案 0 :(得分:0)

WordPress安全标头是WordPress网站的另一层安全保护。安全标头很容易添加或实现,不需要很多技术技能。

WordPress的安全标头可以帮助您证明WordPress安全标头是WordPress网站的另一安全层。安全标头很容易添加或实现,不需要很多技术技能。

WordPress的安全标头可帮助您提供另一层安全保护,以减轻攻击并防御各种安全漏洞。提供另一层安全保护,以减轻攻击并防止各种安全漏洞。

Here are .htaccess技术可提高您网站的安全性。这些技术会为网站的所有资源添加额外的安全标头。具体来说,本教程说明了如何添加X-Security标头以防止跨站点脚本(XSS),页面框架和内容嗅探。添加这些额外的标头很简单,有助于提高网站的安全性。

防止XSS攻击

首先,您可以添加X-Security标头以帮助防止XSS。为此,请将以下指令添加到您站点的根.htaccess文件中:

X-XSS保护

<IfModule mod_headers.c>
    Header set X-XSS-Protection "1; mode=block"
</IfModule>

无需修改,只需复制/粘贴即可完成。该代码通过将X-XSS-Protection标头添加到服务器响应中而起作用。大多数现代的网络浏览器都可以理解此标头,并将使用它来保护您的网站免受跨站点脚本攻击。

保护页面框架和点击劫持

接下来,您可以添加X-Security标头以帮助防止页面框架和点击劫持。为此,请将以下指令添加到您站点的根.htaccess文件中:

X-Frame-Options 

<IfModule mod_headers.c>
    Header always append X-Frame-Options SAMEORIGIN
</IfModule>

无需修改,只需复制/粘贴即可完成。该代码通过将X-Frame-Options标头添加到服务器响应中而起作用。大多数现代的网络浏览器都可以理解此标头,并且会使用它来确保只有在框架位于同一域中时,您的页面才能显示在框架中。

X-Content-Type-Options

设置X-Content-Type-Options标头将阻止浏览器将文件解释为HTTP标头中内容类型所声明的以外的内容。它具有许多配置选项和潜在参数,但最常用的参数是nosniff

示例:

X-Content-Type-Options:nosniff

将X-Content-Type-Options安全标头添加到WordPress网站

您可以通过配置.htaccess文件(Apache)将X-Content-Type-Options安全标头添加到WordPress站点。使用NGINX,您需要编辑nginx.conf文件。

Apache配置

 <IfModule mod_headers.c>
        Header set X-Content-Type-Options nosniff
    </IfModule>

NGINX配置

add_header X-Content-Type-Options "nosniff" always;

答案 1 :(得分:0)

我使用下面的插件来保护我的网站标题,它在-securityheaders.com

中的得分很高

WP插件-> https://wordpress.org/plugins/http-security/(有效且稳定的版本)

它可以节省您的时间。祝一切顺利!

相关问题
最新问题