在.htaccess中添加安全标题以确保WordPress的安全性[已关闭]

ttygqcqt  于 2022-11-02  发布在  WordPress
关注(0)|答案(3)|浏览(131)

**已关闭。**此问题为not about programming or software development。目前不接受答案。

此问题似乎与a specific programming problem, a software algorithm, or software tools primarily used by programmers无关。如果您认为此问题与another Stack Exchange site相关,您可以留下评论,说明在何处可以找到此问题的答案。
2天前关闭。
Improve this question
我是WordPress安全的新手,我想提高我的网店(woocommerce)的安全性。我用https://sitecheck.sucuri.net/做了一个站点检查,我得到了一个低安全风险,我想这是可以的。但它建议如下:将这些安全标头放入.htaccess
XSS保护:

<IfModule mod_headers.c>
  Header set X-XSS-Protection "1; mode=block"
</IfModule>

X-内容-类型:无嗅探

<IfModule mod_headers.c>
  Header set X-Content-Type-Options nosniff
</IfModule>

和Strict-Transport-Security安全标头。我不知道将建议的最后一个标头放在哪里:

Strict-Transport-Security: max-age=<expire-time>
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains
Strict-Transport-Security: max-age=<expire-time>; preload

1)我对以上所有这些标题的问题:我可以把这些头文件保存在我的.htaccess中吗?或者有什么缺点吗?
2)我想我也会添加iteme安全插件。或者也许webARX?
非常感谢您的帮助。谢谢

gcuhipw9

gcuhipw91#

WordPress安全头是WordPress站点的另一层安全。安全头很容易添加或实现,不需要很多技术技能。
WordPress的安全头可以帮助你保护WordPress安全头是你的WordPress站点的另一层安全。安全头很容易添加或实现,不需要很多的技术技能。
WordPress的安全头可以帮助您提供另一层安全,以减轻攻击并防止各种安全漏洞。ide另一层安全,以减轻攻击并防止各种安全漏洞。
Here are.htaccess技术来提高站点的安全性。这些技术会向站点的所有资源添加额外的安全标头。具体来说,本教程解释了如何添加X-Security标头来防止跨站点脚本(XSS)、页面框架和内容嗅探。添加这些额外的标头非常简单,有助于提高站点的安全性。
防御XSS攻击
首先,您可以添加一个X-Security Header来帮助抵御XSS。为此,请将以下指令添加到站点的root .htaccess文件中:
X-XSS-保护

<IfModule mod_headers.c>
    Header set X-XSS-Protection "1; mode=block"
</IfModule>

不需要修改,只需复制/粘贴即可完成。此代码的工作原理是在服务器响应中添加X-XSS-Protection头。大多数现代Web浏览器都能理解此头,并将使用它来帮助保护您的网站免受跨站点脚本攻击。
防止页面框架和点击劫持
接下来,您可以添加一个X-Security Header来帮助防止页面框架和点击劫持。为此,请将以下指令添加到您站点的根.htaccess文件中:
X-框架-选项

<IfModule mod_headers.c>
    Header always append X-Frame-Options SAMEORIGIN
</IfModule>

不需要任何修改,只需复制/粘贴即可完成。此代码的工作原理是在服务器响应中添加X-Frame-Options标头。大多数现代Web浏览器都能理解此标头,并使用它来确保只有当框架位于同一域时,您的页面才能在框架中显示。
X内容类型选项
设置X-Content-Type-Options标头将防止浏览器将文件解释为HTTP标头中内容类型声明之外的内容。
示例:
X-内容-类型-选项:无嗅探
添加X-Content-Type-Options安全标题到WordPress站点
您可以通过配置.htaccess文件(Apache)将X-Content-Type-Options安全头添加到您的WordPress站点。使用NGINX,您需要编辑nginx.conf文件。
Apache配置

<IfModule mod_headers.c>
        Header set X-Content-Type-Options nosniff
    </IfModule>

NGINX配置

add_header X-Content-Type-Options "nosniff" always;
jgwigjjp

jgwigjjp2#

我用下面的插件来保护我的网站标题,它在-securityheaders.com中显示了良好的分数
WP插件-〉https://wordpress.org/plugins/http-security/(活跃稳定版)
它可以保存你的时间。一切顺利!

nx7onnlm

nx7onnlm3#

https://geekflare.com/tools/secure-headers-test
https://securityheaders.com/


# Security Headers

<IfModule mod_headers.c>
Header set Content-Security-Policy "upgrade-insecure-requests"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header set X-Xss-Protection "1; mode=block"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-Content-Type-Options "nosniff"
Header set Referrer-Policy "strict-origin-when-cross-origin"
Header set Permissions-Policy "geolocation=self"
Header set X-Permitted-Cross-Domain-Policies "none"
Header set Clear-Site-Data "none"
Header set Cross-Origin-Embedder-Policy "unsafe-none"
Header set Cross-Origin-Opener-Policy "same-origin"
Header set Cross-Origin-Resource-Policy "same-origin"
Header set Expect-CT "report-uri"
</IfModule>

相关问题