如何在 WordPress 中添加 HTTP 安全标头(初学者指南)

您想在 WordPress 中添加 HTTP 安全标头吗?

HTTP 安全标头允许您为 WordPress 网站添加额外的安全层。它们可以帮助阻止常见的恶意活动影响您的网站性能。

在本初学者指南中,我们将向您展示如何在 WordPress 中轻松添加 HTTP 安全标头。

在 WordPress 中添加 HTTP 安全标头

什么是 HTTP 安全标头?

HTTP 安全标头是一种安全措施,可让您网站的服务器在某些常见的安全威胁影响您的网站之前阻止它。

基本上,当用户访问您的网站时,您的网络服务器会将 HTTP 标头响应发送回他们的浏览器。此响应告诉浏览器有关错误代码、缓存控制和其他状态的信息。

正常的标头响应会发出一个称为 HTTP 200 的状态。之后,您的网站会在用户的浏览器中加载。但是,如果您的网站遇到问题,那么您的 Web 服务器可能会发送不同的 HTTP 标头。

例如,它可能会发送 500 internal server error或not found 404 错误代码。

HTTP 安全标头是这些标头的子集,用于防止网站遭受常见威胁,例如点击劫持、跨站点脚本、暴力攻击等。

让我们快速浏览一下 HTTP 安全标头的外观以及它们为保护您的网站所做的工作。

HTTP 严格传输安全 (HSTS)

HTTP 严格传输安全 (HSTS) 标头告诉 Web 浏览器您的网站使用 HTTP,不应使用 HTTP 等不安全协议加载。

如果您已将WordPress 网站从 HTTP 移至 HTTPs,则此安全标头允许您阻止浏览器在 HTTP 上加载您的网站。

X-XSS 保护

X-XSS 保护标头允许您阻止跨站点脚本加载到您的WordPress 网站上。

X 框架选项

X-Frame-Options 安全标头可防止跨域 iframe 或点击劫持。

X-Content-Type-Options

X-Content-Type-Options 阻止内容 mime 类型的嗅探。

话虽如此,让我们看看如何在 WordPress 中轻松添加 HTTP 安全标头。

在 WordPress 中添加 HTTP 安全标头

HTTP 安全标头在 Web 服务器级别(即您的WordPress 托管帐户)设置时效果最佳。这允许它们在典型的 HTTP 请求期间及早被触发,并提供最大的好处。

如果您使用的是 Sucuri 或 Cloudflare 等DNS 级别的网站应用程序防火墙,它们的效果会更好。我们将向您展示每种方法,您可以选择最适合您的方法。

以下是不同方法的快速链接,您可以跳转到适合您的方法。

使用 Sucuri 添加 HTTP 安全标头

使用 Cloudflare 添加 HTTP 安全标头

使用 .htaccess 添加 HTTP 安全标头

使用 WordPress 插件添加 HTTP 安全标头

测试 HTTP 安全标头

1. 使用 Sucuri 在 WordPress 中添加 HTTP 安全标头

Sucuri是市场上最好的 WordPress 安全插件。如果您也在使用他们的网站防火墙服务,那么您无需编写任何代码即可设置 HTTP 安全标头。

首先,您需要注册一个Sucuri帐户。这是一项付费服务​​,附带服务器级网站防火墙、安全插件、CDN 和恶意软件清除保证。

在注册期间,您将回答简单的问题,Sucuri 文档将帮助您在您的网站上设置网站应用程序防火墙。

注册后,您需要安装并激活免费的Sucuri 插件。有关更多详细信息,请参阅我们关于如何安装 WordPress 插件的分步指南。

激活后,转到Sucuri安全 » 防火墙 (WAF)页面并输入您的防火墙 API 密钥。您可以在 Sucuri 网站上的帐户下找到此信息。

果汁 WAF API 密钥

单击“保存”按钮以存储您的更改。

接下来,您需要切换到 Sucuri 帐户仪表板。从这里,单击顶部的设置菜单,然后切换到安全选项卡。

在 Sucuri 中设置 HTTP 安全标头

从这里您可以选择三组规则。默认保护、HSTS 和 HSTS Full。您将看到将为每组规则应用哪些 HTTP 安全标头。

单击“在附加标题中保存更改”按钮以应用您的更改。

就是这样,Sucuri 现在将在 WordPress 中添加您选择的 HTTP 安全标头。由于它是 DNS 级别的 WAF,因此您的网站流量甚至在黑客到达您的网站之前就受到保护。

2. 使用 Cloudflare 在 WordPress 中添加 HTTP 安全标头

Cloudflare 提供基本的免费网站防火墙和 CDN 服务。它的免费计划缺少高级安全功能,因此您需要升级到更昂贵的 Pro 计划。

要在您的网站上添加 Cloudflare,请参阅我们关于如何在 WordPress 中添加 Cloudflare 免费 CDN的教程。

一旦 Cloudflare 在您的网站上处于活动状态,请转到您的 Cloudflare 帐户仪表板下的 SSL/TLS 页面,然后切换到 Edge Certificates 选项卡。

在 Cloudflare 中设置 HTTPS 安全标头

现在,向下滚动到 HTTP 严格传输安全 (HSTS) 部分,然后单击“启用 HSTS”按钮。

在 Cloudflare 上启用 HSTS

这将弹出一个带有说明的弹出窗口,告诉您在使用此功能之前,您必须在WordPress 博客上启用 HTTPS。单击下一步按钮继续,您将看到添加 HTTP 安全标头的选项。

在 Cloudflare 中启用 HTTPS 安全标头

从这里,您可以启用 HSTS、no-sniff 标头、将 HSTS 应用于子域(如果它们使用 HTTPS)以及预加载 HSTS。

此方法使用 HTTP 安全标头提供基本保护。但是,它不允许您添加 X-Frame-Options,而且 Cloudflare 没有用户界面来执行此操作。

您仍然可以通过使用 Workers 功能创建脚本来做到这一点。但是,创建 HTTPS 安全标头脚本可能会给初学者带来意想不到的问题,这就是我们不推荐它的原因。

3. 使用 .htaccess 在 WordPress 中添加 HTTP 安全标头

此方法允许您在服务器级别设置 WordPress 中的 HTTP 安全标头。

它要求您在您的网站上编辑.htaccess 文件。它是最常用的 Apache 网络服务器软件使用的服务器配置文件。

只需使用 FTP 客户端或主机控制面板中的文件管理器应用程序连接到您的网站。在您网站的根文件夹中,您需要找到 .htaccess 文件并对其进行编辑。

在 WordPress 中编辑 .htaccess 文件

这将在纯文本编辑器中打开文件。在文件的底部,您可以添加代码以将 HTTPS 安全标头添加到您的 WordPress 网站。

您可以使用以下示例代码作为起点,它将最常用的 HTTPs 安全标头设置为最佳设置:

Header set Strict-Transport-Security “max-age=31536000” env=HTTPSHeader set X-XSS-Protection “1; mode=block”Header set X-Content-Type-Options nosniffHeader set X-Frame-Options DENYHeader set Referrer-Policy: no-referrer-when-downgrade

不要忘记保存您的更改并访问您的网站,以确保一切正常。

注意: .htaccess 文件中不正确的标题或冲突可能会在大多数 Web 主机上触发500 内部服务器错误。

4. 使用插件在 WordPress 中添加 HTTP 安全标头

此方法效果稍差,因为它依赖于 WordPress 插件来修改标题。但是,这也是将 HTTP 安全标头添加到 WordPress 网站的最简单方法。

首先,您需要安装并激活重定向插件。有关更多详细信息,请参阅我们关于如何安装 WordPress 插件的分步指南。

激活后,插件将显示一个设置向导,您可以按照该向导来设置插件。之后,转到工具»重定向页面并切换到“站点”选项卡。

重定向插件中的站点设置

接下来,您需要向下滚动到页面底部的 HTTP 标头部分,然后单击“添加标头”按钮。从下拉菜单中,您需要选择“添加安全预设”选项。

使用重定向添加标题预设

之后,您需要再次单击它以添加这些选项。现在,您将看到一个预设的 HTTP 安全标头列表出现在表中。

HTTP 安全标头预设

这些标头针对安全性进行了优化,您可以查看它们并在需要时更改它们。完成后,不要忘记单击“更新”按钮以保存更改。

您现在可以访问您的网站以确保一切正常。

如何检查网站的 HTTP 安全标头

现在,您已将 HTTP 安全标头添加到您的网站。您可以使用免费的安全标头工具测试您的配置。只需输入您的网站 URL,然后单击“扫描”按钮。

检查您的 WordPress 安全标头

然后它将检查您网站的 HTTP 安全标头,并向您显示报告。该工具会生成一个所谓的等级标签,您可以忽略它,因为大多数网站最多只能获得 B 或 C 分数,而不会影响用户体验。

它将显示哪些 HTTP 安全标头由您的网站发送,哪些安全标头不包括在内。如果您想要设置的安全标头在此处列出,那么您就完成了。

就是这样,我们希望本文能帮助您了解如何在 WordPress 中添加 HTTP 安全标头。您可能还想查看我们完整的 WordPress 安全指南,以及我们为企业网站挑选的最佳 WordPress 插件的专家。