HTTP security headeri omogućuju vam da dodate dodatni sloj sigurnosti svojoj WordPress web stranici. Mogu pomoći blokirati uobičajene zlonamjerne aktivnosti i tako zaštititi performanse i sigurnost stranice.
Što su HTTP security headeri
HTTP security headeri sigurnosna su mjera koja omogućuje serveru vaše web stranice da spriječi neke uobičajene sigurnosne prijetnje prije nego što utječu na samu stranicu.
Kada korisnik posjeti vašu web stranicu, web server šalje HTTP header odgovor natrag u njegov browser. Taj odgovor browseru govori o statusnim kodovima, cache kontroli i drugim stanjima.
U normalnoj situaciji header odgovor sadrži status HTTP 200 nakon čega se stranica učitava u browseru korisnika. No ako stranica ima problema, server može poslati drukčiji HTTP header odgovor.
Primjerice, može poslati 500 internal server error ili 404 not found kod.
HTTP security headeri podskup su tih headera i koriste se kako bi zaštitili web stranice od prijetnji poput click-jackinga, cross-site scriptinga, brute force napada i drugih sličnih problema.
Pogledajmo ukratko kako ti headeri izgledaju i što rade kako bi zaštitili web stranicu.
HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security odnosno HSTS govori browserima da vaša web stranica koristi sigurnu vezu i da se ne bi trebala učitavati koristeći nesiguran protokol.
Ako ste WordPress web stranicu prebacili s HTTP-a na HTTPS, ovaj sigurnosni header omogućuje vam da spriječite browser da učitava web na HTTP-u.
X-XSS-Protection
X-XSS-Protection header omogućuje blokiranje cross-site scripting napada na WordPress stranici.
X-Frame-Options
X-Frame-Options security header sprječava cross-domain iframeove odnosno click-jacking.
X-Content-Type-Options
X-Content-Type-Options blokira mime-type sniffing sadržaja.
S tim rečenim, pogledajmo kako jednostavno dodati HTTP security headere u WordPress.
Dodavanje HTTP security headera u WordPress
HTTP security headeri najbolje rade kada su postavljeni na razini web servera, odnosno hostinga. To im omogućuje da se aktiviraju vrlo rano tijekom tipičnog HTTP zahtjeva i daju maksimalnu korist.
Rade još bolje ako koristite DNS-level website application firewall poput Sucurija ili Cloudflarea. U nastavku su različite metode pa možete odabrati onu koja vam najviše odgovara.
Metode su:
- dodavanje HTTP security headera korištenjem Sucurija
- dodavanje HTTP security headera korištenjem Cloudflarea
- dodavanje HTTP security headera kroz
.htaccess - dodavanje HTTP security headera korištenjem WordPress plugina
- testiranje HTTP security headera
Dodavanje HTTP security headera u WordPress pomoću Sucurija
Sucuri je jedan od najpoznatijih WordPress security pluginova na tržištu. Ako koristite i njihov website firewall servis, HTTP security headere možete postaviti bez pisanja koda.
Najprije trebate otvoriti Sucuri račun. Riječ je o plaćenoj usluzi koja uključuje server-level website firewall, security plugin, CDN i garanciju uklanjanja malvera.
Tijekom prijave odgovarat ćete na nekoliko jednostavnih pitanja, a Sucuri dokumentacija pomoći će vam da postavite website application firewall na svojoj stranici.
Nakon prijave trebate instalirati i aktivirati besplatni Sucuri plugin. Nakon aktivacije idite na stranicu Security » Firewall (WAF) i unesite svoj Firewall API ključ koji možete pronaći unutar Sucuri računa.
Kliknite na Save kako biste spremili promjene.
Zatim se prebacite na Sucuri account dashboard. Ondje kliknite na izbornik Settings pri vrhu, a zatim otvorite karticu Security.
Odavde možete birati između tri seta pravila: default protection, HSTS i HSTS Full. Vidjet ćete koji će se HTTP security headeri primijeniti za svaki skup pravila.
Kliknite na gumb za spremanje promjena u dodatnim headerima kako biste primijenili odabrane postavke.
To je sve, Sucuri će sada dodati odabrane HTTP security headere u WordPress. Budući da je riječ o DNS-level WAF-u, promet prema vašoj web stranici zaštićen je od napadača i prije nego što dođu do same stranice.
Dodavanje HTTP security headera u WordPress pomoću Cloudflarea
Cloudflare nudi osnovni besplatni website firewall i CDN servis. U besplatnom planu nema naprednije sigurnosne mogućnosti pa ćete za ozbiljniji setup trebati prijeći na Pro plan koji je skuplji.
Kada je Cloudflare aktivan na stranici, otvorite SSL/TLS sekciju unutar Cloudflare account dashboarda i zatim karticu Edge Certificates.
Zatim se spustite do HTTP Strict Transport Security sekcije i kliknite na gumb za uključivanje HSTS-a.
Pojavit će se popup s uputama koje naglašavaju da na WordPress blogu već morate imati uključen HTTPS prije korištenja te funkcije. Kliknite Next za nastavak i vidjet ćete opcije za dodavanje HTTP security headera.
Odavde možete uključiti HSTS, no-sniff header, primjenu HSTS-a na poddomene ako i one koriste HTTPS, kao i HSTS preload.
Ova metoda pruža osnovnu zaštitu pomoću HTTP security headera. No ne dopušta jednostavno dodavanje X-Frame-Options headera, a Cloudflare nema posebno korisničko sučelje za to.
To se još uvijek može napraviti preko Workers skripte, ali izrada HTTPS security header skripte početnicima može donijeti nepredvidive probleme pa to ne bih preporučio.
Dodavanje HTTP security headera u WordPress pomoću .htaccess datoteke
Ova metoda omogućuje postavljanje HTTP security headera na server razini.
Zahtijeva uređivanje .htaccess datoteke na web stranici. To je server konfiguracijska datoteka koju koristi najrašireniji Apache web server softver.
Jednostavno se spojite na web stranicu preko FTP klijenta ili file manager aplikacije u kontrolnom panelu hostinga. U root mapi web stranice trebate pronaći .htaccess datoteku i urediti je.
To će otvoriti datoteku u običnom tekstualnom editoru. Na dno datoteke možete dodati kod za HTTPS security headere u WordPressu.
Možete koristiti sljedeći primjer kao polazište. On postavlja najčešće korištene HTTP security headere s dobrim zadanim postavkama:
<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>Ne zaboravite spremiti promjene i posjetiti web stranicu kako biste provjerili radi li sve kako treba.
Napomena: netočni headeri ili konflikti unutar .htaccess datoteke na većini hostinga mogu izazvati 500 Internal Server Error.
Dodavanje HTTP security headera u WordPress pomoću plugina
Ova metoda je nešto manje učinkovita jer se oslanja na WordPress plugin koji mijenja headere. No ujedno je i najjednostavniji način da ih dodate.
Najprije trebate instalirati i aktivirati plugin Redirection.
Nakon aktivacije plugin će prikazati setup čarobnjak koji jednostavno pratite. Nakon toga idite na Tools » Redirection i otvorite karticu Site.
Zatim se spustite do dna stranice do sekcije HTTP Headers i kliknite na Add Header. U padajućem izborniku odaberite opciju Add Security Presets.
Nakon toga trebate ponovno kliknuti kako biste dodali te opcije. Sada ćete u tablici vidjeti unaprijed definirani popis HTTP security headera.
Ti headeri optimizirani su za sigurnost pa ih možete pregledati i prilagoditi po potrebi. Kada završite, ne zaboravite kliknuti Update kako biste spremili promjene.
Nakon toga možete posjetiti svoju web stranicu i provjeriti radi li sve kako treba.
Kako provjeriti HTTP security headere na web stranici
Kada ste dodali HTTP security headere na svoju web stranicu, konfiguraciju možete testirati pomoću besplatnog Security Headers alata. Jednostavno unesite URL stranice i kliknite na Scan.
Alat će zatim provjeriti HTTP security headere vaše stranice i prikazati izvještaj. Može generirati i tzv. grade oznaku koju slobodno možete ignorirati jer većina stranica bez narušavanja korisničkog iskustva završava s B ili C ocjenom.
Prikazat će koji se HTTP security headeri šalju s vaše stranice i koji nisu uključeni. Ako među njima vidite headere koje ste htjeli postaviti, posao je gotov.
To je sve, nadam se da vam je ovaj članak pomogao naučiti kako dodati HTTP security headere u WordPress.
Povezane usluge
Savjetodavna područja vezana uz ovu temu
Ove su usluge usklađene s temom članka i daju čišći prijelaz od edukativnog sadržaja do konkretne implementacije.
Nastavite čitati
Povezani članci
Prvo po zajedničkim kategorijama, a zatim po najjačem preklapanju u tagovima.