当前位置:创网站长资源网 > WP学院 > WordPress安全 > HSTS——如何使用HTTP来严格保护传输
创网站长资源创网站长资源 WordPress安全

HSTS——如何使用HTTP来严格保护传输

温馨提示:注册会员付费购买资源可永久免费下载更新版本

确保你的WordPress网站的安全设置是非常重要的,尤其是在保护你免受黑客攻击的时候。你可以实现许多不同的增强和最佳WordPress安全实践来确保你的网站被锁定。

如果你的WordPress网站运行在HTTPS,那么我们推荐实现的增强之一是HSTS安全头,因为它可以帮助防止中间人攻击(MitM)和cookie劫持。

HSTS(严格的传输安全)

如何将HSTS添加到WordPress网站

验证HSTS标头

HSTS对SEO的影响

什么是HSTS(严格传输安全)?

HSTS代表HTTP严格传输安全,由IETF在2012年的RFC 6797中指定。它被创建来强制浏览器在HTTPS运行时使用安全连接。它是您添加到Web服务器的安全头,并在响应头中反映为严格传输安全。HSTS很重要,因为它解决了以下问题:

访问者试图使用您的网站页面的不安全版本(HTTP://)将被自动转发到安全版本(HTTPS://)。

旧的HTTP书签和进入你网站HTTP版本的人会让你暴露在中间人攻击之下。在这些攻击中,攻击者改变各方之间的通信,并诱导他们认为他们仍在相互通信。

不允许覆盖无效的证书消息,这反过来保护了访问者。

Cookie劫持:当有人通过不安全的连接窃取会话cookie时,就会发生这种情况。Cookie可以包含各种有价值的信息,如信用卡信息、姓名、地址等。

如何将HSTS添加到WordPress网站

从技术上讲,你把HSTS添加到Web服务器本身,然后把它应用到对你的WordPress站点的HTTP请求。从HTTP重定向到HTTPS时,通常会添加301重定向。谷歌已经正式表明,你可以同时使用301服务器重定向和HSTS头。

尽管我们的系统在默认情况下更喜欢HTTPS版本,但是您也可以通过将您的HTTP站点重定向到您的HTTPS版本并在您的服务器上实现HSTS标头,让其他搜索引擎更加了解这一点。Zineb Ait Bahajji,谷歌安全团队

有不同类型的指令和/或安全级别可以应用于HSTS报头。下面是使用max-age指令的最基本的一个。这定义了Web服务器只能通过HTTPS传送的时间(以秒为单位)。

在Apache中启用HSTS

将以下代码添加到虚拟主机文件中。

Header always set Strict-Transport-Security max-age=31536000

在NGINX中启用HSTS

将以下代码添加到您的NGINX配置中。

add_header Strict-Transport-Security max-age=31536000

事实上,添加HSTS标头具有性能优势。如果有人试图通过HTTP访问您的网站,而不是发出HTTP请求,它只会重定向到HTTPS版本。

预载HSTS

还有HSTS预压。这基本上是把你的网站和/或域名放入你的浏览器中的HSTS列表中。Google官方整理了这个列表,Chrome、Firefox、Opera、Safari、IE11、Edge都有使用。将你的网站提交给HSTS官方预加载列表。

预载HSTS

但是,您必须满足一些额外的要求才有资格。

服务器必须具有有效的SSL/TLS证书。

将所有交通转向HTTPS。

基本域上提供了HSTS。

HTTPS为所有子域提供服务,尤其是www子域(如果存在的话)。

过期时间必须至少为1年(31536000秒)

必须指定IncludeSubdomains标记指令。

您必须指定预加载令牌指令。

要做到这一点,它需要添加额外的子域和预加载指令到你的HSTS头。以下是更新后的HSTS标头的示例。

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

警告:从预加载列表中删除您的域可能是一个困难和耗时的过程,所以请确保您将长期使用HTTPS。

验证HSTS标头

有几种简单的方法可以检查HSTS是否在你的WordPress网站上运行。你可以启动谷歌Chrome Devtools,点击“网络”标签,查看标题标签。正如你在下面的闪电博览会网站上看到的,HSTS值正在被应用:“严格-运输-安全:max-age = 31536000”。

你也可以用一个免费的在线工具(比如securityheaders.io)扫描你的WordPress网站,它会让你知道是否应用了严格传输安全头。

HSTS浏览器支持

据Caniuse称,浏览器对HSTS的支持非常广泛,全球超过80%,美国超过95%。2015年,IE11中增加了对HSTS的支持。目前唯一不支持的现代浏览器是Opera Mini。

我们还建议您查看这篇由蒂姆·卡德莱克撰写的关于HSTS的文章,让我们加密。

HSTS对SEO的影响

在您的网站被批准并列入HSTS预加载列表后,您可能会注意到关于从谷歌搜索控制台或其他第三方搜索引擎优化工具307重定向的警告。这是因为当有人试图通过HTTP访问您的网站时,浏览器中会发生307重定向,而不是301重定向(如下所示)。

hsts–严格传输安全307重定向

通常307重定向只用于临时重定向。31重定向用于永久移动的URL。那么它不应该使用301重定向吗?那么这对SEO有什么影响呢?

实际上,301重定向仍在幕后进行。307重定向发生在浏览器级别,而不是服务器级别。您可以通过在服务器级别检查重定向的工具(例如,httpstatus)来运行站点,您会发现实际上301重定向仍在发生。因此,你不需要担心HSTS页眉影响你的SEO。

HSTS 301重定向

声明:

1,本站分享的资源来源于用户上传或网络分享,如有侵权请联系站长。

2,本站软件分享目的仅供大家学习和交流,请不要用于商业用途,下载后请于24小时后删除。

3,如果你也有好的建站资源,可以投稿到本站。

4,本站提供的所有资源不包含技术服务请大家谅解!

5,如有链接无法下载,请联系站长!

6,特别声明:仅供参考学习,不提供技术支持,建议购买正版!如果发布资源侵犯了您的利益请留言告知!


创网站长资源网 » HSTS——如何使用HTTP来严格保护传输
分享到: