确保为您的WordPress网站正确设置安全性非常重要,尤其是在保护自己免受黑客攻击方面。您可以实施许多不同的增强功能和最佳WordPress安全实践,以确保您的网站被锁定。 如果您的WordPress网站通过HTTPS运行,那么我们建议实施的增强功能之一是HSTS安全标头,因为它可以帮助防止中间人攻击 (MitM) 和cookie劫持。 HSTS(严格传输安全) 如何将HSTS添加到WordPress网站 验证HSTS标头 HSTS对SEO的影响 什么是HSTS(严格的传输安全)? HSTS代表HTTP严格传输安全性,由IETF在2012年的RFC 6797中指定。创建它是为了在站点通过HTTPS运行时强制浏览器使用安全连接。它是您添加到Web服务器的安全标头,并在响应标头中反映为Strict-Transport-Security。HSTS很重要,因为它解决了以下问题: 访问者尝试使用您网站页面的不安全版本 (HTTP://) 的任何尝试都将自动转发到安全版本 (HTTPS://)。 旧的HTTP书签和输入您网站的HTTP版本的人会让您面临中间人攻击。在这些攻击中,攻击者改变各方之间的通信并诱使他们认为他们仍在相互通信。 不允许覆盖无效的证书消息,这反过来又保护了访问者。 Cookie劫持:当有人通过不安全的连接窃取会话cookie时,就会发生这种情况。Cookie可以包含各种有价值的信息,例如信用卡信息、姓名、地址等。 如何将HSTS添加到WordPress网站 从技术上讲,您将HSTS添加到Web服务器本身,然后将其应用于对您的WordPress站点的HTTP请求。通常在从HTTP重定向到HTTPS时会添加301重定向。Google已正式表示您可以同时使用301服务器重定向和HSTS标头。 虽然我们的系统默认更喜欢HTTPS版本,但您也可以通过将您的HTTP站点重定向到您的HTTPS版本并在您的服务器上实施HSTS标头,使其他搜索引擎更清楚这一点。 Zineb Ait Bahajji,谷歌安全团队 有不同类型的指令和/或安全级别可以应用于HSTS标头。下面是使用max-age指令的最基本的一种。这定义了Web服务器应仅通过HTTPS传送的时间(以秒为单位)。 在Apache中启用HSTS 将以下代码添加到您的虚拟主机文件中。 Header always set Strict-Transport-Security max-age=31536000 在NGINX中启用 HSTS 将以下代码添加到您的NGINX配置中。 add_header Strict-Transport-Security max-age=31536000 事实上,添加HSTS标头有性能优势。如果有人试图通过HTTP访问您的站点,而不是发出HTTP请求,它只是重定向到HTTPS版本。 预加载HSTS 还有HSTS预加载。这基本上是将您的网站和/或域放入浏览器中实际内置的已批准HSTS列表中。谷歌官方编译了这个列表,它被Chrome、Firefox、Opera、Safari、IE11和Edge使用。将您的站点提交到官方HSTS预加载列表。 预加载HSTS 但是,您必须满足一些额外要求才有资格。 服务器必须具有有效的SSL/TLS证书。 将所有流量重定向到HTTPS。 在基本域上提供HSTS。 通过HTTPS为所有子域提供服务,特别包括www子域(如果存在)。 到期时间必须至少为1年(31536000 秒) 必须指定includeSubdomains令牌指令 必须指定预加载令牌指令。 为此,它需要将额外的子域和预加载指令添加到您的HSTS标头中。以下是更新后的HSTS标头的示例。 Strict-Transport-Security: max-age=31536000; includeSubDomains; […]
