什么是 HTTP 安全标头？

HTTP 安全标头是一种安全措施，可以在常见安全威胁影响您的网站之前由服务器进行拦截。当用户访问您的 WordPress 网站时，您的网络服务器会向他们的浏览器发送一个 HTTP 标头响应。这些响应包括错误代码、缓存控制和其他状态信息。

普通的标头响应会发出 HTTP 200 状态，表示网站加载成功。然而，如果您的网站遇到问题，您的服务器可能会发送不同的 HTTP 标头，例如 500 内部服务器错误或 404 未找到错误代码。

HTTP 安全标头是这些标头的一个子集，旨在保护网站防止常见威胁，如点击劫持、跨站脚本攻击、暴力破解攻击等。

让我们快速了解一下某些 HTTP 安全标头及其如何保护您的 WordPress 网站：

HTTP 严格传输安全 (HSTS)

告知浏览器您的网站使用 HTTPS，不应通过不安全的协议（如 HTTP）加载。

X-XSS 保护

阻止跨站脚本（XSS）攻击。

X-Frame-Options

防止跨域 iframes 或点击劫持。

X-Content-Type-Options

阻止内容 MIME 类型嗅探。

HTTP 安全标头最好在服务器级别设置，这样可以在典型的 HTTP 请求过程中尽早触发，提供最大的安全效益。如果您使用 DNS 级别的网站应用防火墙（如 Sucuri 或 Cloudflare），效果会更好。

在 WordPress 中添加 HTTP 安全标头的方法

使用 Sucuri 添加 HTTP 安全标头

Sucuri 是市场上最好的 WordPress 安全插件之一。使用其网站防火墙服务，您无需撰写任何代码即可设置 HTTP 安全标头。首先，您需要注册一个 Sucuri 账户。这项付费服务包括服务器级别的网站防火墙、安全插件、CDN 和恶意软件移除保障。注册后，安装并激活 Sucuri 免费插件。在 Sucuri 安全中心填写防火墙 API 密钥。然后，在您 Sucuri 账户仪表盘的“设置”菜单下选择“安全”选项卡，选择规则集并保存更改。

使用 Cloudflare 添加 HTTP 安全标头

Cloudflare 提供基本的免费网站防火墙和 CDN 服务。若要使用其高级安全功能，需升级到 Pro 计划。在 Cloudflare 账户仪表盘的 SSL/TLS 页面下的“边缘证书”选项卡，找到并启用 HTTP 严格传输安全（HSTS），然后根据需要配置相关选项。

使用 .htaccess 添加 HTTP 安全标头

编辑网站根目录中的 .htaccess 文件，并添加以下代码以设置常用的 HTTP 安全标头：

<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>

使用 All in One SEO 添加 HTTP 安全标头

All in One SEO (AIOSEO) 是 WordPress 最好的 SEO 工具之一。激活插件后，前往 AIOSEO » 重定向页面，启用重定向功能，然后在“全站重定向”选项卡的“规范设置”部分下添加安全预设。

如何检查 HTTP 安全标头

可以使用免费的 Security Headers 工具测试您的配置。输入网站 URL，点击“扫描”按钮，以查看网站发出的 HTTP 安全标头报告。

WordPress 安全的专家指南

以下是其他关于提高 WordPress 网站安全性的指南：

• WordPress 安全的最终指南（逐步）
• 如何执行 WordPress 安全审计（完整清单）
• 如何为 WordPress 网站获取免费的 SSL 证书（初学者指南）
• 为什么 WordPress 网站会被黑及如何防止
• 如何更改 WordPress 数据库前缀以提高安全性
• 最佳 WordPress 安全插件比较
• 最佳 WordPress 安全扫描器以检测恶意软件和黑客攻击
• 如何扫描您的 WordPress 网站以检测潜在的恶意代码

希望本文能帮助您了解如何在 WordPress 中添加 HTTP 安全标头。您也可以参阅我们的完整 WordPress 安全指南及我们为商业网站挑选的最佳 WordPress 插件。