我是WordPress安全的新手,我想提高网店的(woocommerce)安全性。我用https://sitecheck.sucuri.net/进行了现场检查我的安全风险较低,我认为还可以。但建议以下内容:将这些安全头放入.htaccess
XSS保护:
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
</IfModule>
X内容类型:nosniff
<IfModule mod_headers.c>
Header set X-Content-Type-Options nosniff
</IfModule>
和Strict-Transport-Security安全标头。我不知道建议把最后一个放在哪里:
Strict-Transport-Security: max-age=<expire-time>
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains
Strict-Transport-Security: max-age=<expire-time>; preload
1)我对上面所有这些标头的问题:是否可以将这些标头保存到我的.htaccess文件中?还是有什么缺点?
2)我想我还将添加itheme安全插件。还是webARX?
非常感谢您的帮助。谢谢
WordPress安全标头是WordPress网站的另一安全层。安全标头很容易添加或实现,不需要很多技术技能。
WordPress的安全标头可以帮助您证明WordPress的安全标头是WordPress网站的另一层安全。安全标头很容易添加或实现,不需要很多技术技能。
WordPress的安全标头可帮助您提供另一层安全保护,以减轻攻击并防止各种安全漏洞。提供另一层安全保护,以减轻攻击并防御各种安全漏洞。
[Here are .htaccess技术可增强您网站的安全性。这些技术会为网站的所有资源添加额外的安全标头。具体来说,本教程说明了如何添加X-Security标头以防止跨站点脚本(XSS),页面框架和内容嗅探。添加这些额外的标题非常简单,有助于提高网站的安全性。
防止XSS攻击
首先,您可以添加X-Security标头来帮助防止XSS。为此,请将以下指令添加到您站点的根.htaccess文件中:
X-XSS-Protection
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
</IfModule>
无需修改,只需复制/粘贴并完成。该代码通过将X-XSS-Protection标头添加到服务器响应中而起作用。大多数现代的网络浏览器都可以理解此标头,并将使用它来保护您的站点免受跨站点脚本攻击。
防止页面构架和点击劫持
[下一步,您可以添加X-Security标头,以帮助防止页面框架和点击劫持。为此,请将以下指令添加到您站点的根.htaccess文件中:
X框架选项
<IfModule mod_headers.c>
Header always append X-Frame-Options SAMEORIGIN
</IfModule>
无需修改,只需复制/粘贴并完成。该代码通过将X-Frame-Options标头添加到服务器响应中而起作用。大多数现代的Web浏览器都可以理解此标头,并且将使用它来确保只有在框架位于同一域中时,您的页面才能显示在框架中。
X-Content-Type-Options
设置X-Content-Type-Options标头将阻止浏览器将文件解释为HTTP标头中内容类型所声明的以外的内容。它具有许多配置选项和潜在参数,但最常用的参数是nosniff
示例:
X-Content-Type-Options:nosniff
将X-Content-Type-Options安全标头添加到WordPress网站
您可以通过配置.htaccess文件(Apache)将X-Content-Type-Options安全标头添加到WordPress站点。使用NGINX,您需要编辑nginx.conf文件。
Apache配置
<IfModule mod_headers.c>
Header set X-Content-Type-Options nosniff
</IfModule>
NGINX配置
add_header X-Content-Type-Options "nosniff" always;