Bảo mật website WordPress với HTTP Security Headers

Bao mat website WordPress voi HTTP Security Headers - Bảo mật website WordPress với HTTP Security Headers

Source: Bảo mật website WordPress với HTTP Security Headers

Bảo mật trang web WordPress của bạn bằng Tiêu đề bảo mật HTTP một cách đơn giản.

bao-mat-website-wordpress-voi-http-security-headers

Bạn đã bao giờ nghe nói về các kỹ thuật tấn công bảo mật như Clickjacking hoặc XSS (Cross Site Scripting) chưa? Chúng là những phương pháp tấn công bảo mật rất phổ biến và nguy hiểm cho các trang web. Tuy nhiên, chúng có thể được ngăn chặn một cách hiệu quả bởi HTTP Security Headers. Vậy tiêu đề bảo mật HTTP là gì? Làm cách nào để bảo mật trang web WordPress của bạn bằng Tiêu đề bảo mật HTTP? Hãy dành vài phút để tìm hiểu với WP Căn bản ngay sau đây.

Tìm hiểu thêm:

Tiêu đề bảo mật HTTP là gì?

Tiêu đề bảo mật HTTP chỉ đơn giản là các lệnh được thêm vào Tiêu đề phản hồi HTTP để giúp tăng cường bảo mật trang web. Tiêu đề bảo mật HTTP bao gồm các lệnh cơ bản như:

  • Liên kết giới thiệu-Chính sách: cho phép một trang web kiểm soát lượng thông tin mà trình duyệt web bao gồm với các điều hướng đi.
  • Nghiêm ngặt-Vận chuyển-Bảo mật: hay còn gọi là HSTS, yêu cầu người dùng truy cập trang web bằng giao thức bảo mật HTTPS.
  • X-Frame-Options: cho trình duyệt web biết bạn có muốn cho phép đóng khung trang web của mình hay không. Bằng cách ngăn trình duyệt web đóng khung trang web, bạn có thể bảo vệ nó khỏi các cuộc tấn công như Clickjacking.
  • X-Xss-Protection: định cấu hình các bộ lọc tập lệnh trên nhiều trang web được tích hợp trong hầu hết các trình duyệt web. Nó được sử dụng để ngăn chặn các cuộc tấn công XSS.
  • X-Content-Type-Options: ngăn trình duyệt web cố gắng xác định kiểu nội dung (css, js, image…) và buộc nó phải tuân theo kiểu nội dung đã khai báo.
  • Nội dung-Bảo mật-Chính sách: là một biện pháp hữu hiệu để bảo vệ trang web của bạn khỏi các cuộc tấn công XSS. Bằng cách liệt kê các nguồn nội dung đã được phê duyệt vào danh sách trắng, bạn có thể ngăn trình duyệt tải nội dung độc hại.
  • Tính năng-Chính sách: cho phép một trang web kiểm soát các tính năng và API có thể được sử dụng trong trình duyệt web.

Làm cách nào để kiểm tra Tiêu đề bảo mật HTTP của trang web?

Rất đơn giản. Bạn có thể xem Tiêu đề bảo mật HTTP thông qua Công cụ nhà phát triển Chrome (nhấn F12 => chọn tab Mạng => tải lại trang web => nhấp vào liên kết trang web trong cột Tên):

http-security-headers-chrome

Hoặc sử dụng một trang web có tên là Security Headers. Tất cả những gì bạn cần làm là nhập địa chỉ vào hộp và nhấp vào. cái nút Quét.

bảo mật-tiêu đề-máy quét

Chờ trong giây lát để hệ thống phân tích và trả kết quả. Nó sẽ trông tương tự như thế này:

ket-qua-kiem-tra-ninh-headers

Các mục đã được thông qua sẽ được đánh dấu bằng màu xanh lá cây. Các mục chưa hoàn thành sẽ được đánh dấu màu đỏ.

Hướng dẫn Bảo mật Trang web WordPress với Tiêu đề Bảo mật HTTP

Trong khuôn khổ bài viết này, mình sẽ hướng dẫn các bạn cách bảo mật website WordPress của mình bằng 4 HTTP Security Headers phổ biến nhất. Còn về HSTS (HTTP nghiêm ngặt truyền tải bảo mật), bạn có thể xem nó trong liên kết tham khảo ở đầu bài viết.

1. Liên kết giới thiệu-Chính sách

Thêm mã sau vào cuối tệp functions.php của chủ đề hoặc chủ đề con mà bạn đang sử dụng:

Xóa bộ nhớ cache của web (nếu bạn sử dụng plugin tạo bộ nhớ cache) và kiểm tra kết quả.

2. X-Content-Type-Options

Thêm mã sau vào cuối tệp .htaccess trong thư mục gốc (nơi WordPress được cài đặt):

nosniff là tùy chọn duy nhất cho X-Content-Type-Options.

Lưu và kiểm tra kết quả.

3. X-Frame-Options

Thêm mã sau vào cuối tệp .htaccess trong thư mục gốc (nơi WordPress được cài đặt):

Lựa chọn SAMEORIGIN được sử dụng để chỉ định rằng một trang web chỉ có thể được hiển thị trong iframe được tạo bởi ai đó có cùng nguồn gốc với nó.

Lưu và kiểm tra kết quả.

4. Bảo vệ X-XSS

Thêm mã sau vào cuối tệp .htaccess trong thư mục gốc (nơi WordPress được cài đặt):

Lựa chọn 1; mode=block khi được kích hoạt sẽ vô hiệu hóa hoàn toàn việc hiển thị một trang web nếu nó bị tấn công bởi Cross Site Scripting (XSS).

Lưu và kiểm tra kết quả.

Lưu ý: nếu bạn không thấy tệp .htaccess trong Trình quản lý tệp của cPanel, vui lòng tham khảo bài viết “Đơn giản hóa hiển thị tệp htaccess trong cPanel”.

Thật đơn giản đúng không? Chúc may mắn.

Mọi thắc mắc và góp ý liên quan đến việc bảo mật website WordPress bằng HTTP Security Headers, vui lòng gửi vào khung bình luận bên dưới để được giải đáp.

Nếu bạn thích bài viết này, hãy đăng ký blog của tôi để thường xuyên cập nhật những bài viết hay nhất và mới nhất qua email. Cảm ơn rất nhiều. 🙂

3.6 / 5 – (13 phiếu bầu)

Via: sieucoder.com



from sieucoder.com https://ift.tt/3E2WtYM
via Sieucoder.com

Nhận xét

Đăng nhận xét