نحوه اضافه کردن هدرهای امنیتی HTTP در وردپرس (راهنمای مبتدیان)

تاریخ انتشار : سه‌شنبه 16 خرداد 1402

وبلاگ

نحوه اضافه کردن هدرهای امنیتی HTTP در وردپرس (راهنمای مبتدیان)

آیا می خواهید هدرهای امنیتی HTTP را در وردپرس اضافه کنید؟

هدرهای امنیتی HTTP به شما این امکان را می دهد که یک لایه امنیتی اضافی به وب سایت وردپرس خود اضافه کنید. آنها می توانند به جلوگیری از تأثیرگذاری فعالیت های مخرب رایج بر عملکرد سایت شما کمک کنند.

در این راهنمای مبتدی، ما به شما نشان خواهیم داد که چگونه هدرهای امنیتی HTTP را در وردپرس اضافه کنید.

هدرهای امنیتی HTTP چیست؟

هدرهای امنیتی HTTP یک اقدام امنیتی است که به سرور وب سایت شما اجازه می دهد تا از برخی تهدیدات امنیتی رایج قبل از اینکه بر وب سایت شما تأثیر بگذارد جلوگیری کند.

هنگامی که کاربر از وب سایت وردپرس شما بازدید می کند، وب سرور شما یک پاسخ هدر HTTP را به مرورگر خود ارسال می کند. این پاسخ به مرورگرها درباره کدهای خطا، کنترل حافظه پنهان و سایر وضعیت ها می گوید.

یک پاسخ هدر معمولی وضعیتی به نام HTTP 200 صادر می کند. سپس وب سایت شما در مرورگر کاربر بارگیری می شود. با این حال، اگر وب سایت شما با مشکلاتی روبرو است، سرور وب شما ممکن است یک هدر HTTP متفاوت ارسال کند.

به عنوان مثال، ممکن است یک خطای سرور داخلی 500 یا یک کد خطای 404 not found ارسال کند.

هدرهای امنیتی HTTP زیرمجموعه ای از این هدرها هستند. آنها برای محافظت از وب سایت ها در برابر تهدیدات رایج مانند کلیک، اسکریپت نویسی بین سایت، حملات brute force و غیره استفاده می شوند.

بیایید نگاهی گذرا به برخی از هدرهای امنیتی HTTP و نحوه محافظت از وب سایت شما بیندازیم:

امنیت حمل و نقل سخت HTTP (HSTS) به مرورگرهای وب می گوید که وب سایت شما از HTTPS استفاده می کند و نباید از طریق پروتکل ناامنی مانند HTTP بارگذاری شود.
حفاظت X-XSS به شما امکان می دهد بارگذاری اسکریپت های متقابل سایت را مسدود کنید.
X-Frame-Options از فریم های درون خطی بین دامنه ها یا کلیک ها جلوگیری می کند.
X-Content-Type-Options X-Content-Type-Options بو کردن نوع mime محتوا را مسدود می کند.

هدرهای امنیتی HTTP زمانی که در سطح سرور وب، یعنی حساب میزبانی وردپرس شما تنظیم شوند، بهترین عملکرد را دارند. این به آنها اجازه می دهد تا در طول یک درخواست HTTP معمولی زودتر فعال شوند و حداکثر سود را ارائه دهند.

اگر از فایروال برنامه وب سایت در سطح DNS مانند Sucuri یا Cloudflare استفاده کنید، حتی بهتر کار می کنند.

همانطور که گفته شد، بیایید نگاهی به نحوه اضافه کردن آسان هدرهای امنیتی HTTP در وردپرس بیندازیم. در اینجا پیوندهای سریع به روش های مختلف وجود دارد تا بتوانید به روشی که برای شما مناسب است بروید:

اضافه کردن هدرهای امنیتی HTTP در وردپرس با استفاده از Sucuri
اضافه کردن هدرهای امنیتی HTTP به وردپرس با استفاده از Cloudflare
اضافه کردن هدرهای امنیتی HTTP در وردپرس با استفاده از htaccess
اضافه کردن هدرهای امنیتی HTTP در وردپرس با استفاده از AIOSEO
نحوه بررسی هدرهای امنیتی HTTP برای یک وب سایت

1. اضافه کردن هدرهای امنیتی HTTP به وردپرس با استفاده از Sucuri

Sucuri یکی از بهترین افزونه های امنیتی وردپرس در بازار است. اگر از سرویس فایروال وب سایت آنها استفاده می کنید، می توانید هدرهای امنیتی HTTP را بدون نوشتن هیچ کدی تنظیم کنید.

ابتدا باید برای یک حساب Sucuri ثبت نام کنید. این یک سرویس پولی است که دارای فایروال وب سایت در سطح سرور، افزونه امنیتی، CDN و ضمانت حذف بدافزار است.

در طول ثبت نام، باید به سوالات ساده پاسخ دهید و مستندات Sucuri به شما کمک می کند فایروال برنامه وب سایت خود را راه اندازی کنید.

پس از ثبت نام، باید افزونه رایگان Sucuri را نصب و فعال کنید. برای جزئیات بیشتر، راهنمای گام به گام ما در مورد نحوه نصب افزونه وردپرس را ببینید.

در هنگام فعال سازی باید به Sucuri Security » فایروال (WAF) و کلید API فایروال خود را وارد کنید. می توانید این اطلاعات را در حساب کاربری خود در وب سایت Sucuri پیدا کنید.

سپس باید روی دکمه سبز “ذخیره” کلیک کنید تا تغییرات خود را ذخیره کنید.

در مرحله بعد، باید به داشبورد حساب Sucuri خود بروید. از اینجا روی منوی تنظیمات در بالا کلیک کنید و سپس به تب Security بروید.

از اینجا می توانید سه مجموعه قانون را انتخاب کنید. حفاظت پیش فرض برای اکثر وب سایت ها به خوبی کار می کند.

اگر یک طرح حرفه ای یا تجاری دارید، گزینه های HSTS و HSTS Full نیز دارید. می توانید ببینید که کدام سرصفحه های امنیتی HTTP برای هر مجموعه قوانین اعمال می شود.

برای اعمال تغییرات خود باید روی دکمه “ذخیره تغییرات در سرصفحه های اضافی” کلیک کنید.

Sucuri اکنون هدرهای امنیتی HTTP انتخابی شما را به وردپرس اضافه می کند. از آنجایی که این یک WAF در سطح DNS است، ترافیک وب سایت شما حتی قبل از رسیدن به وب سایت شما در برابر هکرها محافظت می شود.

2. اضافه کردن هدرهای امنیتی HTTP به وردپرس با استفاده از Cloudflare

Cloudflare یک فایروال وب سایت رایگان و سرویس CDN را ارائه می دهد. این برنامه فاقد ویژگی‌های امنیتی پیشرفته در طرح رایگان خود است، بنابراین باید به برنامه Pro ارتقا دهید که گران‌تر است.

می توانید با دنبال کردن آموزش ما در مورد نحوه راه اندازی CDN رایگان Cloudflare در وردپرس، نحوه اضافه کردن Cloudflare را به وب سایت خود بیاموزید.

هنگامی که Cloudflare در وب سایت شما فعال شد، باید به صفحه SSL/TLS در داشبورد حساب Cloudflare خود بروید و سپس به برگه «Edge Certificates» بروید.

راه اندازی هدرهای امنیتی HTTPS در Cloudflare

اکنون به قسمت «HTTP Strict Transport Security (HSTS)» بروید.

هنگامی که آن را پیدا کردید، باید روی دکمه “فعال کردن HSTS” کلیک کنید.

با این کار یک پنجره بازشو با دستورالعمل هایی ظاهر می شود که به شما می گوید قبل از استفاده از این ویژگی باید HTTPS را در وب سایت خود فعال کنید.

اگر وبلاگ وردپرس شما قبلاً یک اتصال HTTPS ایمن دارد، می‌توانید برای ادامه روی دکمه «بعدی» کلیک کنید. گزینه های اضافه کردن هدرهای امنیتی HTTP را خواهید دید.

هدرهای امنیتی HTTPS را در Cloudflare فعال کنید

از اینجا می‌توانید HSTS را فعال کنید، HSTS را برای زیر دامنه‌ها اعمال کنید (اگر زیر دامنه‌ها از HTTPS استفاده می‌کنند)، HSTS را از قبل بارگذاری کنید، و یک هدر غیر sniffing را فعال کنید.

این روش با استفاده از هدرهای امنیتی HTTP امنیت اولیه را فراهم می کند. با این حال، به شما اجازه نمی دهد که X-Frame-Options را اضافه کنید، و Cloudflare رابط کاربری برای آن ندارد.

همچنان می توانید با ایجاد یک اسکریپت با استفاده از ویژگی Cloudflare Workers این کار را انجام دهید. با این حال، ما این را توصیه نمی کنیم زیرا ایجاد یک اسکریپت هدر ایمن HTTPS می تواند مشکلات غیرمنتظره ای را برای مبتدیان ایجاد کند.

3. اضافه کردن هدرهای امنیتی HTTP به وردپرس با استفاده از htaccess

این روش به شما امکان می دهد هدرهای امنیتی HTTP در وردپرس را در سطح سرور تنظیم کنید.

این نیاز به ویرایش فایل htaccess. وب سایت شما دارد. این فایل پیکربندی سرور توسط متداول ترین نرم افزار وب سرور آپاچی استفاده می شود.

توجه داشته باشید: قبل از ایجاد هر گونه تغییر در فایل های وب سایت خود، توصیه می کنیم یک نسخه پشتیبان تهیه کنید.

سپس به سادگی با استفاده از یک سرویس گیرنده FTP یا مدیر فایل در کنترل پنل میزبان خود به وب سایت خود متصل شوید. در پوشه ریشه وب سایت خود، باید فایل htaccess. را پیدا کرده و آن را ویرایش کنید.

نمایی از ویرایش فایل htaccess. با استفاده از یک سرویس گیرنده FTP

با این کار فایل در یک ویرایشگر متن ساده باز می شود. در پایین فایل، می توانید کدی را برای اضافه کردن هدرهای امنیتی HTTPS به وب سایت وردپرس خود اضافه کنید.

می توانید از کد نمونه زیر به عنوان نقطه شروع استفاده کنید. متداول ترین سرصفحه های امنیتی HTTP را با تنظیمات بهینه تنظیم می کند:

<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>

مطمئن شوید که تغییرات خود را ذخیره کرده و از وب سایت خود بازدید کنید تا مطمئن شوید که همه چیز همانطور که انتظار می رود کار می کند.

توجه داشته باشید: هنگام ویرایش کد وب سایت خود مراقب باشید. هدرهای نادرست یا تداخل در فایل htaccess. می تواند باعث خطای 500 سرور داخلی شود.

4. اضافه کردن هدرهای امنیتی HTTP به وردپرس با استفاده از AIOSEO

All in One SEO (AIOSEO) بهترین ابزار سئو برای وردپرس است که بیش از 3 میلیون کسب و کار به آن اعتماد دارند. افزونه پریمیوم به شما این امکان را می دهد که به راحتی هدرهای امنیتی HTTP را به وب سایت خود اضافه کنید.

اولین کاری که باید انجام دهید این است که افزونه AIOSEO را در وب سایت خود نصب و فعال کنید. می توانید در راهنمای گام به گام ما در مورد نحوه راه اندازی All in One SEO برای وردپرس اطلاعات بیشتری کسب کنید.

سپس شما باید به همه در یک سئو » تغییر مسیرها صفحه ای برای افزودن هدرهای امنیتی HTTP. ابتدا باید روی دکمه «فعال کردن تغییر مسیرها» کلیک کنید تا این ویژگی فعال شود.

فعال کردن تغییر مسیرها در All in One SEO

پس از فعال شدن ریدایرکت ها، باید روی تب Sitewide Redirects کلیک کنید و سپس به قسمت تنظیمات Canonical بروید.

فقط کلید “تنظیمات متعارف” را فعال کنید و سپس روی دکمه “افزودن تنظیمات از پیش تعیین شده امنیتی” کلیک کنید.

از پیش تنظیمات امنیتی در AIOSEO اضافه کنید

لیستی از پیش تعریف شده از هدرهای امنیتی HTTP را در جدول خواهید دید.

این هدرها برای امنیت بهینه شده اند. شما می توانید آنها را بررسی کنید و در صورت لزوم آنها را تغییر دهید.

حتماً روی دکمه «ذخیره تغییرات» در بالا یا پایین صفحه کلیک کنید تا هدرهای امنیتی ذخیره شوند.

اکنون می توانید از وب سایت خود بازدید کنید تا مطمئن شوید که همه چیز خوب کار می کند.

نحوه بررسی هدرهای امنیتی HTTP برای یک وب سایت

اکنون که سرصفحه های امنیتی HTTP را به وب سایت خود اضافه کرده اید، می توانید پیکربندی خود را با استفاده از ابزار رایگان Security Headers آزمایش کنید.

فقط آدرس وب سایت خود را وارد کنید و روی دکمه “اسکن” کلیک کنید.

سپس هدرهای امنیتی HTTP را برای وب سایت شما بررسی می کند و گزارشی را به شما نشان می دهد. این ابزار همچنین یک برچسب به اصطلاح رتبه‌بندی ایجاد می‌کند که می‌توانید آن را نادیده بگیرید، زیرا اکثر وب‌سایت‌ها بدون تأثیر بر تجربه کاربر، رتبه B یا C را دریافت می‌کنند.

به شما نشان می دهد که کدام سرفصل های امنیتی HTTP توسط وب سایت شما ارسال می شود و کدام یک شامل نمی شود. اگر سرصفحه‌های امنیتی که می‌خواهید تنظیم کنید در آنجا فهرست شده‌اند، پس می‌توانید ادامه دهید.

امیدواریم این مقاله به شما کمک کند تا یاد بگیرید چگونه سرفصل های امنیتی HTTP را در وردپرس اضافه کنید. همچنین ممکن است بخواهید راهنمای کامل ما برای امنیت وردپرس و انتخاب های متخصص ما برای بهترین افزونه های وردپرس برای وب سایت های تجاری را ببینید.

اگر از این مقاله لذت بردید، لطفا در کانال یوتیوب ما برای آموزش های ویدئویی وردپرس مشترک شوید. شما همچنین می توانید ما را در توییتر و فیس بوک

پست نحوه اضافه کردن هدرهای امنیتی HTTP در وردپرس (راهنمای مبتدیان) اولین بار در WPBeginner ظاهر شد.