هدرهای امنیتی HTTP به شما امکان می دهد یک لایه امنیتی اضافی به وب سایت وردپرس خود اضافه کنید. آنها می توانند به جلوگیری از تأثیر فعالیت های مخرب متداول بر عملکرد وب سایت شما کمک کنند.
هدرهای امنیتی HTTP چیست؟
اساساً ، هنگامی که یک کاربر از وب سایت شما بازدید می کند ، وب سرور شما یک پاسخ هدر HTTP را به مرورگر خود ارسال می کند. این پاسخ به مرورگرها در مورد کدهای خطا ، کنترل حافظه پنهان و سایر وضعیت ها می گوید.
پاسخ هدر معمولی وضعیتی به نام HTTP 200 را صادر می کند. پس از آن وب سایت شما در مرورگر کاربر لود می شود. با این حال ، اگر وب سایت شما با مشکل مواجه باشد ، ممکن است وب سرور شما یک هدر HTTP متفاوت را ارسال کند.
به عنوان مثال ، ممکن است یک خطای 500 یا یک کد خطای 404 را ارسال کند.
هدرهای امنیتی HTTP زیر مجموعه ای از این هدرها هستند و برای جلوگیری از تهدیدهای رایج وب سایت ها مانند Clickjacking ، cross-site scripting ، حملات بی رحمانه xss و موارد دیگر استفاده می شوند.
بیایید نگاهی گذرا به هدرهای امنیتی HTTP داشته باشیم و ببینیم برای محافظت از وب سایت شما چه کاری باید انجام دهیم.
HTTP Strict Transport Security (HSTS)
هدر HTTP Strict Transport Security (HSTS) به مرورگرهای وب می گوید که وب سایت شما از https استفاده می کند و نباید با استفاده از پروتکل نا امن مانند HTTP بارگیری شود.
اگر وب سایت وردپرس خود را از HTTP به https منتقل کرده اید ، این هدر امنیتی به شما امکان می دهد مرورگرها را از لود وب سایت خود در HTTP باز دارید. دقت داشته باشید این هدر مناسب وب سایت های است که گواهینامه امنیت ssl را بر روی دامنه خود فعال نموده اند.
X-XSS Protection
هدر X-XSS Protection به شما اجازه می دهد اجرای cross-site scripting را در وب سایت وردپرسی خود مسدود کنید.
X-Frame-Options
هدر امنیتی X-Frame-Options ازcross-domain iframes یا click-jacking جلوگیری می کند.
Clickjacking نوعی از حملات هکرها است که با کلیک کردن کاربر بر روی یک عنصر وب سایت، عنصر دیگری که به صورت نامرئی و مخفی است اجرا میشود. این حمله باعث میشود که کاربران به صورت ناخواسته نرم افزارهای مخرب را دانلود کنند، به صفحات جعلی هدایت شوند و اطلاعاتشان به سرفت برود.
به طور معمول، clickjacking با نمایش یک صفحه یا یک عنصر HTML نامرئی در داخل iframe در بالای صفحات که کاربران آن را می بینند انجام می شود. کاربران معتقد هستند که بر روی چیزی که می بینند کلیک می کنند اما در حقیقت بر روی عناصر نامرئی که قابل مشاهده نیست کلیک کرده اند.
X-Content-Type-Options
X-Content-Type-Options باعث مسدود کردن mime-type خواهد شد. از هدر X-Content-Type-Options برای محافظت در برابر آسیب پذیری های مضر mime-type استفاده می شود. این آسیب پذیری ها ممکن است زمانی ایجاد شود که یک وب سایت به کاربران اجازه آپلود مطالب را در سایت وردپرس بدهد، اما کاربر نوع فایل خاصی را به عنوان فایل اصلی آپلود کند . این می تواند به آنها فرصتی برای انجام برنامه نویسی cross-site و به خطر انداختن وب سایت بدهد.
حال که با هد های امنیتی آشنا شدیم در مقاله بعدی درباره فعال سازی این نوع هدر در هاست وردپرس یا سایت وردپرسی شما بیشتر توضیح خواهیم داد.