在 .htaccess 中为 WordPress 安全添加安全标头

Posted

技术标签:

【中文标题】在 .htaccess 中为 WordPress 安全添加安全标头【英文标题】:Adding Security Header in .htaccess for WordPress security 【发布时间】:2019-10-11 08:32:39 【问题描述】:

我是 WordPress 安全新手,我想提高我的网上商店 (woocommerce) 的安全性。 我用https://sitecheck.sucuri.net/ 进行了现场检查 我有一个低安全风险,我想这还可以。 但它建议以下内容: 将这些安全标头放入 .htaccess

XSS 保护:

<IfModule mod_headers.c>
  Header set X-XSS-Protection "1; mode=block"
</IfModule>

X-Content-Type: nosniff

<IfModule mod_headers.c>
  Header set X-Content-Type-Options nosniff
</IfModule>

和 Strict-Transport-Security 安全标头。我不知道把建议的最后一个放在哪里:

Strict-Transport-Security: max-age=<expire-time>
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains
Strict-Transport-Security: max-age=<expire-time>; preload

1) 我对以上所有这些标题的问题:我可以将这些标题保存在我的 .htaccess 中吗?或者有什么缺点?

2) 我想我还会添加 itheme 安全插件。或者 webARX?

非常感谢您的帮助。谢谢

【问题讨论】:

【参考方案1】:

WordPress 安全标头是 WordPress 网站的另一层安全保护。安全标头很容易添加或实施,不需要太多技术技能。

WordPress 安全标头可帮助您提高 WordPress 安全标头是 WordPress 网站的另一层安全保护。安全标头很容易添加或实施,不需要太多技术技能。

WordPress 的安全标头可帮助您提供另一层安全性,以减轻攻击并防止各种安全漏洞。 ide 另一层安全性来减轻攻击并防止各种安全漏洞。

Here are.htaccess 技术可提高您网站的安全性。这些技术为您网站的所有资源添加了额外的安全标头。具体来说,本教程解释了如何添加 X-Security 标头以防止跨站点脚本 (XSS)、页面框架和内容嗅探。添加这些额外的标头很简单,有助于提高您网站的安全性。

防止 XSS 攻击

首先,您可以添加一个 X-Security 标头来帮助防止 XSS。为此,请将以下指令添加到您网站的根 .htaccess 文件中:

X-XSS-保护

<IfModule mod_headers.c>
    Header set X-XSS-Protection "1; mode=block"
</IfModule>

无需修改,只需复制/粘贴即可。此代码通过将 X-XSS-Protection 标头添加到您的服务器响应来工作。大多数现代网络浏览器都理解此标头,并将使用它来帮助保护您的网站免受跨站点脚本攻击。

防止页面框架和点击劫持

接下来,您可以添加 X-Security 标头以帮助防止页面框架和点击劫持。为此,请将以下指令添加到您网站的根 .htaccess 文件中:

X-Frame-选项

<IfModule mod_headers.c>
    Header always append X-Frame-Options SAMEORIGIN
</IfModule>

无需修改,只需复制/粘贴即可。此代码通过将 X-Frame-Options 标头添加到您的服务器响应来工作。大多数现代网络浏览器都理解此标头,并将使用它来确保您的页面只有在框架位于同一域中时才能显示在框架中。

X-Content-Type-Options

设置 X-Content-Type-Options 标头将阻止浏览器将文件解释为 HTTP 标头中的内容类型所声明的其他内容。它有很多配置选项和潜在参数,但最常用的参数是 nosniff

例子:

X-Content-Type-Options: nosniff

将 X-Content-Type-Options 安全标头添加到 WordPress 站点

您可以通过配置 .htaccess 文件 (Apache) 将 X-Content-Type-Options 安全标头添加到您的 WordPress 站点。使用 nginx 你需要编辑 nginx.conf 文件。

Apache 配置

 <IfModule mod_headers.c>
        Header set X-Content-Type-Options nosniff
    </IfModule>

NGINX 配置

add_header X-Content-Type-Options "nosniff" always;

【讨论】:

【参考方案2】:

我使用下面的插件来保护我的网站标题,它在 - securityheaders.com 中显示了不错的分数

WP Plugin -> https://wordpress.org/plugins/http-security/(活跃稳定版)

它可以节省您的时间。万事如意!

【讨论】:

以上是关于在 .htaccess 中为 WordPress 安全添加安全标头的主要内容,如果未能解决你的问题,请参考以下文章

如何在 .htaccess 中为 CDN 添加 Leverage 浏览器缓存?

wordpress 插件开发添加到 htaccess 文件中

Nginx 中的多站点 WordPress 重写规则

无法在 .htaccess 中为我的 php 网站编写重写规则

.htaccess 用 WordPress 插件重写

.htaccess & WordPress:从 RewriteRule 中排除文件夹