نحوه اضافه کردن هدرهای امنیتی HTTP در وردپرس (راهنمای مبتدیان)
انتشار: خرداد 15، 1402
بروزرسانی: 22 تیر 1404

نحوه اضافه کردن هدرهای امنیتی HTTP در وردپرس (راهنمای مبتدیان)

هنگامی که آن را پیدا کردید، باید روی دکمه "فعال کردن HSTS" کلیک کنید.

روی دکمه Enable HSTS کلیک کنید
پس از فعال شدن ریدایرکت ها، باید روی تب "Redirect کامل سایت" کلیک کنید و سپس به بخش "تنظیمات متعارف" بروید.

سپس باید به سمت All in One SEO » تغییر مسیرها صفحه ای برای افزودن هدرهای امنیتی HTTP. ابتدا باید روی دکمه «فعال کردن تغییر مسیرها» کلیک کنید تا این ویژگی فعال شود.

فعال سازی ریدایرکت ها در All in One SEO

پس از فعال سازی، باید به Sucuri Security » فایروال (WAF) و کلید API فایروال خود را وارد کنید. می توانید این اطلاعات را در حساب کاربری خود در وب سایت Sucuri پیدا کنید.

کلید Sucuri WAF API

توجه داشته باشید: هنگام ویرایش کد در وب سایت خود مراقب باشید. هدرهای نادرست یا تداخل در فایل htaccess. ممکن است خطای سرور داخلی 500 را ایجاد کند.

سپس هدرهای امنیتی HTTP را برای وب سایت شما بررسی می کند و گزارشی را به شما نشان می دهد. این ابزار همچنین یک برچسب به اصطلاح درجه تولید می کند که می توانید از آن چشم پوشی کنید زیرا اکثر وب سایت ها بدون تأثیر بر تجربه کاربر، نمره B یا C دریافت می کنند.

پاسخ هدر معمولی وضعیتی به نام HTTP 200 صادر می کند. پس از این، وب سایت شما در مرورگر کاربر بارگذاری می شود. با این حال، اگر وب سایت شما مشکل دارد، سرور وب شما ممکن است هدر HTTP دیگری ارسال کند.

بیایید نگاهی گذرا به برخی از هدرهای امنیتی HTTP و نحوه محافظت از وب سایت شما بیندازیم:

  • امنیت حمل و نقل سخت HTTP (HSTS) به مرورگرهای وب می گوید که وب سایت شما از HTTPS استفاده می کند و نباید با استفاده از پروتکل ناامنی مانند HTTP بارگیری شود.
  • حفاظت X-XSS به شما اجازه می دهد تا از بارگذاری اسکریپت های متقابل سایت جلوگیری کنید.
  • X-Frame-Options از iframe های متقابل دامنه یا جک کلیک جلوگیری می کند.
  • X-Content-Type-Options X-Content-Type-Options شنود کردن محتوا از نوع mime را مسدود می کند.

همانطور که گفته شد، بیایید نگاهی به نحوه اضافه کردن آسان هدرهای امنیتی HTTP در وردپرس بیندازیم. در اینجا پیوندهای سریعی به روش های مختلف وجود دارد تا بتوانید به روشی که برای شما مناسب است بروید:

Sucuri اکنون هدرهای امنیتی HTTP انتخابی شما را در وردپرس اضافه می کند. از آنجایی که این یک WAF در سطح DNS است، ترافیک وب سایت شما حتی قبل از رسیدن به وب سایت شما در برابر هکرها محافظت می شود.

اگر وبلاگ وردپرس شما قبلاً یک اتصال HTTPS ایمن دارد، می توانید برای ادامه روی دکمه «بعدی» کلیک کنید. گزینه های اضافه کردن هدرهای امنیتی HTTP را خواهید دید.

هدرهای امنیتی HTTPS را در Cloudflare فعال کنید

پس از آن، باید روی دکمه سبز "ذخیره" کلیک کنید تا تغییرات خود را ذخیره کنید.

در مرحله بعد، باید به داشبورد حساب Sucuri خود بروید. از اینجا، روی منوی «تنظیمات» در بالا کلیک کنید و سپس به تب «امنیت» بروید.

تنظیم هدرهای امنیتی HTTP در Sucuri

این روش با استفاده از هدرهای امنیتی HTTP حفاظت اولیه را فراهم می کند. با این حال، به شما اجازه نمی دهد X-Frame-Options را اضافه کنید و Cloudflare رابط کاربری برای انجام این کار ندارد.

اولین کاری که باید انجام دهید این است که افزونه AIOSEO را در وب سایت خود نصب و فعال کنید. می توانید در راهنمای گام به گام ما در مورد نحوه راه اندازی All in One SEO برای وردپرس اطلاعات بیشتری کسب کنید.

Sucuri یکی از بهترین افزونه های امنیتی وردپرس در بازار است. اگر از سرویس فایروال وب سایت آنها استفاده می کنید، می توانید هدرهای امنیتی HTTP را بدون نوشتن هیچ کدی تنظیم کنید.

از اینجا، شما می توانید سه مجموعه از قوانین را انتخاب کنید. حفاظت پیش فرض برای اکثر وب سایت ها به خوبی کار می کند.

با دنبال کردن آموزش ما در مورد نحوه راه اندازی CDN رایگان Cloudflare در وردپرس، می توانید نحوه اضافه کردن Cloudflare را به وب سایت خود بیاموزید.

امیدواریم این مقاله به شما کمک کند تا یاد بگیرید چگونه سرفصل های امنیتی HTTP را در وردپرس اضافه کنید. همچنین ممکن است بخواهید راهنمای کامل امنیت وردپرس ما و انتخاب های متخصص ما برای بهترین افزونه های وردپرس برای وب سایت های تجاری را ببینید.

اگر این مقاله را دوست داشتید، لطفاً در کانال یوتیوب ما برای آموزش های ویدیویی وردپرس مشترک شوید. شما همچنین می توانید ما را در پیدا کنید توییتر و فیس بوک



منبع فراموش نکنید که تغییرات خود را ذخیره کنید و از وب سایت خود بازدید کنید تا مطمئن شوید که همه چیز همانطور که انتظار می رود کار می کند.

می توانید از کد نمونه زیر به عنوان نقطه شروع استفاده کنید. متداول ترین سرصفحه های امنیتی HTTP را با تنظیمات بهینه تنظیم می کند:

به شما نشان می دهد که کدام هدرهای امنیتی HTTP توسط وب سایت شما ارسال می شوند و کدام یک شامل نمی شوند. اگر سرصفحه های امنیتی که می خواهید تنظیم کنید در آنجا فهرست شده اند، کارتان تمام شده است.

All in One SEO (AIOSEO) بهترین ابزار سئو برای وردپرس است و بیش از 3 میلیون کسب و کار به آن اعتماد دارند. افزونه پریمیوم به شما امکان می دهد به راحتی هدرهای امنیتی HTTP را به وب سایت خود اضافه کنید.

هدرهای امنیتی HTTP زمانی بهترین عملکرد را دارند که در سطح وب سرور تنظیم شوند، که به معنای حساب میزبانی وردپرس شما است. این به آنها اجازه می دهد تا در مراحل اولیه درخواست HTTP معمولی فعال شوند و حداکثر سود را ارائه دهند.

اگر از فایروال برنامه وب سایت در سطح DNS مانند Sucuri یا Cloudflare استفاده می کنید، آنها حتی بهتر کار می کنند.

در این راهنمای مبتدی، ما به شما نشان خواهیم داد که چگونه هدرهای امنیتی HTTP را در وردپرس اضافه کنید.

نحوه اضافه کردن هدرهای امنیتی HTTP در وردپرس (راهنمای مبتدیان)

اکنون می توانید از وب سایت خود بازدید کنید تا مطمئن شوید که همه چیز خوب کار می کند.

لیستی از پیش تعیین شده از هدرهای امنیتی HTTP را در جدول خواهید دید.

هدرهای امنیتی HTTP به شما این امکان را می دهد که یک لایه امنیتی اضافی به وب سایت وردپرس خود اضافه کنید. آنها می توانند به جلوگیری از تأثیرگذاری فعالیت های مخرب رایج بر عملکرد سایت شما کمک کنند.

اکنون که هدرهای امنیتی HTTP را به وب سایت خود اضافه کرده اید، می توانید پیکربندی خود را با استفاده از ابزار رایگان Security Headers آزمایش کنید.

این هدرها برای امنیت بهینه شده اند. در صورت نیاز می توانید آنها را بررسی و تغییر دهید.

هدرهای امنیتی در AIOSEO اضافه شده است

این روش به شما امکان می دهد هدرهای امنیتی HTTP در وردپرس را در سطح سرور تنظیم کنید.

پس از ثبت نام، باید افزونه رایگان Sucuri را نصب و فعال کنید. برای جزئیات بیشتر، راهنمای گام به گام ما در مورد نحوه نصب افزونه وردپرس را ببینید.

اکنون به قسمت «HTTP Strict Transport Security (HSTS)» بروید.

به عنوان مثال، ممکن است یک خطای سرور داخلی 500 یا یک کد خطای 404 یافت نشد ارسال کند.

<ifModule mod_headers.c>Header set Strict-Transport-Security "max-age=31536000" env=HTTPSHeader set X-XSS-Protection "1; mode=block"Header set X-Content-Type-Options nosniffHeader set X-Frame-Options DENYHeader set Referrer-Policy: no-referrer-when-downgrade</ifModule>

با این کار یک پنجره بازشو با دستورالعمل هایی ظاهر می شود که به شما می گوید قبل از استفاده از این ویژگی باید HTTPS را در وب سایت خود فعال کنید.

Cloudflare یک فایروال وب سایت رایگان و سرویس CDN را ارائه می دهد. این برنامه فاقد ویژگی های امنیتی پیشرفته در برنامه رایگان خود است، بنابراین باید به برنامه Pro خود ارتقا دهید که گران تر است.

ابتدا باید برای یک حساب Sucuri ثبت نام کنید. این یک سرویس پولی است که دارای فایروال وب سایت در سطح سرور، افزونه امنیتی، CDN و ضمانت حذف بدافزار است.

با این کار فایل در یک ویرایشگر متن ساده باز می شود. در پایین فایل، می توانید کدی برای اضافه کردن هدرهای امنیتی HTTPS به وب سایت وردپرس خود اضافه کنید.

هنگامی که Cloudflare در وب سایت شما فعال شد، باید به صفحه SSL/TLS در داشبورد حساب Cloudflare خود بروید و سپس به برگه «Edge Certificates» بروید.

راه اندازی هدرهای امنیتی HTTPS در Cloudflare

همچنان می توانید با ایجاد یک اسکریپت با استفاده از ویژگی Cloudflare Workers این کار را انجام دهید. با این حال، ما این را توصیه نمی کنیم زیرا ایجاد یک اسکریپت هدر امنیتی HTTPS ممکن است باعث ایجاد مشکلات غیرمنتظره برای مبتدیان شود.

برای ذخیره هدرهای امنیتی، مطمئن شوید که روی دکمه "ذخیره تغییرات" در بالا یا پایین صفحه کلیک کنید.

برای اعمال تغییرات خود باید روی دکمه "ذخیره تغییرات در سرصفحه های اضافی" کلیک کنید.

اگر یک طرح حرفه ای یا تجاری دارید، گزینه هایی برای HSTS و HSTS Full نیز دارید. می توانید ببینید که کدام سرصفحه های امنیتی HTTP برای هر مجموعه قوانین اعمال می شود.

توجه داشته باشید: قبل از ایجاد هر گونه تغییر در فایل های وب سایت خود، توصیه می کنیم یک نسخه پشتیبان تهیه کنید.

آیا می خواهید هدرهای امنیتی HTTP را در وردپرس اضافه کنید؟

در حین ثبت نام، باید به سوالات ساده پاسخ دهید و اسناد Sucuri به شما کمک می کند فایروال برنامه وب سایت را در وب سایت خود راه اندازی کنید.

هدرهای امنیتی HTTP زیرمجموعه ای از این هدرها هستند. آنها برای محافظت از وب سایت ها در برابر تهدیدات رایج مانند جک کلیک، اسکریپت بین سایتی، حملات brute force و غیره استفاده می شوند.

به سادگی کلید «تنظیمات متعارف» را فعال کنید و سپس روی دکمه «افزودن تنظیمات پیش فرض امنیتی» کلیک کنید.

تنظیمات امنیتی را در AIOSEO اضافه کنید

این نیاز به ویرایش فایل htaccess. در وب سایت شما دارد. این فایل پیکربندی سرور توسط متداول ترین نرم افزار وب سرور آپاچی استفاده می شود.

از اینجا می توانید HSTS را فعال کنید، HSTS را در زیر دامنه ها اعمال کنید (اگر زیر دامنه ها از HTTPS استفاده می کنند)، HSTS را از قبل بارگذاری کنید و هدر no-sniff را فعال کنید.

به سادگی آدرس وب سایت خود را وارد کنید و روی دکمه "اسکن" کلیک کنید.

بررسی سرصفحه های امنیتی HTTP یک وب سایت

هنگامی که کاربر از وب سایت وردپرس شما بازدید می کند، وب سرور شما یک پاسخ هدر HTTP را به مرورگر خود ارسال می کند. این پاسخ به مرورگرها درباره کدهای خطا، کنترل حافظه پنهان و سایر وضعیت ها می گوید.

هدرهای امنیتی HTTP یک اقدام امنیتی است که به سرور وب سایت شما اجازه می دهد تا از برخی تهدیدات امنیتی رایج قبل از تأثیرگذاری بر وب سایت شما جلوگیری کند.

در مرحله بعد، به سادگی با استفاده از یک سرویس گیرنده FTP یا مدیر فایل در کنترل پنل میزبان خود به وب سایت خود متصل شوید. در پوشه ریشه وب سایت خود، باید فایل htaccess. را پیدا کرده و آن را ویرایش کنید.

مشاهده ویرایش فایل htaccess. با استفاده از یک سرویس گیرنده FTP

نویسنده: تیم تحریریه مرتضی