Como adicionar cabeçalhos de segurança HTTP no WordPress (5 tipos)

WordPress é um dos sistemas de gerenciamento de conteúdo (CMS) mais populares do mundo. No entanto, também é um alvo favorito entre os hackers, com 4,3 bilhões de tentativas de explorar vulnerabilidades registrado em um único ano. Como proprietário de um site, esse número pode ser muito preocupante para você.

Felizmente, existem maneiras de tornar seu site menos suscetível a ataques. Ao se tornar um especialista em cabeçalhos de segurança HTTP, você pode restringir as ações que os servidores e navegadores podem realizar, mesmo se o seu site contiver uma vulnerabilidade conhecida.

Nesta postagem, discutiremos o que são cabeçalhos HTTP e por que eles são uma ferramenta importante no arsenal de qualquer proprietário de site. Em seguida, mostraremos como adicionar cinco cabeçalhos de segurança ao seu site, usando o popular Plug-in de redirecionamento. Comecemos!

Introdução aos cabeçalhos de segurança HTTP (e como eles podem beneficiar seu site)

Sempre que alguém visita seu site, seu servidor enviará um cabeçalho de resposta HTTP ao navegador. Esses cabeçalhos informam ao navegador como agir em todas as interações com seu site, incluindo como exibir erros e gerenciar o cache.

Nesta postagem, vamos nos concentrar nos cabeçalhos de segurança HTTP. Eles especificam detalhes relacionados à segurança da comunicação HTTP e podem fortalecer seu site contra uma variedade de ameaças, como Scripts entre sites (XSS), clickjacking e ataques de força bruta.

Quando usados ​​corretamente, esses cabeçalhos podem restringir os comportamentos que o navegador e o servidor podem executar. Isso pode ser particularmente útil para evitar que hackers explorem vulnerabilidades conhecidas em seus temas e plug-ins do WordPress. Uma vez que temas e plug-ins vulneráveis ​​têm um total 70 milhões de instalações ativas, usar cabeçalhos de segurança HTTP em seu site é uma escolha inteligente.

Existem várias maneiras de adicionar cabeçalhos de segurança ao seu site. Você pode editar o seu .htaccess arquivo usando um cliente como FileZilla ou uma ferramenta focada em segurança como Sucuri ou Cloudflare. No entanto, nesta postagem, mostraremos como adicionar rápida e facilmente esses títulos usando o Plug-in de redirecionamento.

Como configurar o plugin de redirecionamento

Redirect é principalmente um gerenciador de redirecionamento, mas também vem com vários cabeçalhos de segurança HTTP predefinidos que você pode adicionar ao seu site. Depois de instalar e ativar o plugin, navegue até Ferramentas> Redirecionamento e clique Iniciar configuração:

O plugin de redirecionamento.

Na próxima página, você pode especificar se o redirecionamento deve criar um redirecionamento automaticamente se um link permanente em uma postagem ou página for alterado. Essas configurações podem ajudá-lo a evitar erros 404. O redirecionamento também pode criar um registro de seus 404s e redirecionamentos. No entanto, esta opção aumentará os requisitos de armazenamento de seu banco de dados:

O plugin de redirecionamento do WordPress.

Depois de definir essas configurações, clique em Continue com a configuração. O redirecionamento se comunica com o WordPress por meio da interface de programação de aplicativo (API) Representational State Transfer (REST), portanto, ele verificará se essa API está disponível. Supondo que a API REST esteja acessível, clique em Conclua a instalação.

Agora que o plug-in está instalado e funcionando, vá para Ferramentas> Redirecionamento e selecione o Local aba:

Como adicionar cabeçalhos de segurança HTTP usando o plug-in de redirecionamento.

Em seguida, vá até o Cabeçalhos HTTP seção e clique no Adicionar cabeçalho suspenso. Por favor selecione Adicione predefinições de segurança:

O redirecionamento fornece uma variedade de cabeçalhos de segurança HTTP.

Agora clique no Adicionar predefinições de segurança botão novamente. Isso importará a lista de redirecionamento de cabeçalhos de segurança HTTP predefinidos:

Uma variedade de cabeçalhos de segurança HTTP.

Neste ponto, vários cabeçalhos de segurança HTTP estão sendo executados em seu site, cortesia do plug-in de redirecionamento. Embora não vamos tocar nisso nesta postagem, você também pode usar o Redirecionamento para criar cabeçalhos personalizados.

Como adicionar cabeçalhos de segurança HTTP no WordPress (5 tipos)

Até agora, cobrimos as principais etapas para adicionar cabeçalhos de segurança de redirecionamento ao seu site. No entanto, você pode querer modificar seu comportamento padrão para obter os melhores resultados. Vamos explorar alguns desses cabeçalhos de segurança com mais detalhes e ver como você pode personalizá-los para atender melhor às suas necessidades.

1. Opções do X-Frame

Opções de X-Frame (XFO) fornece proteção contra clickjacking, informando ao navegador como se comportar ao lidar com o conteúdo do seu site. O sequestro de cliques ocorre quando um invasor usa um iframe transparente para induzir um visitante a interagir com um item oculto, como um botão.

Por padrão, o XFO não permite que uma página seja renderizada em um quadro, independentemente da origem do conteúdo. Isso pode proteger seus visitantes contra ataques baseados em XFO. No entanto, se essas configurações padrão causarem problemas de usabilidade, você pode mudar para o mesma origem opção. Esta configuração permite que a página carregue em um quadro na mesma origem da própria página, o que deve resolver quaisquer problemas que você encontrar com seu próprio conteúdo:

Cabeçalhos de segurança HTTP do WordPress.

Alternativamente, você pode escolher diretiva URI allow-from. Esta configuração permite que a página seja carregada em um quadro nas origens ou domínio especificado. Após selecionar esta opção, você terá acesso a um campo onde poderá inserir o Uniform Resource Identifier (URI) você deseja colocar na lista de permissões.

2. Proteção X-XSS

O cabeçalho X-XSS-Protection evita que as páginas sejam carregadas quando um ataque Cross-Site Scripting (XSS) é detectado. Se um hacker conseguir lançar um ataque XSS bem-sucedido, ele poderá executar um código malicioso no seu servidor ou no navegador do visitante. Isso inclui o código que é capaz de várias ações, incluindo roubar informações pessoais do visitante ou redirecionar para um site completamente diferente.

Por padrão, este cabeçalho é definido como 1; modo = bloqueio. Isso significa que, se um ataque XSS for detectado, o navegador limpará a página e impedirá que ela seja processada. As opções alternativas incluem 1, o que limpará a página, mas não impedirá que ela exiba:

O cabeçalho de segurança X-XSS-Protection.

O plugin de redirecionamento também é compatível com 1; relatório = diretiva. Este atributo higieniza a página, mas também relata a violação usando o diretiva report-uri.

3. X-Content-Type-Options

Este cabeçalho de resposta indica que o Multipurpose Internet Mail Extensions (MIME) tipos anunciados no Tipo de conteúdo os títulos não devem ser alterados. Essa pode ser uma importante linha de defesa contra o rastreamento de conteúdo.

Como parte desse ataque, um terceiro transformará tipos MIME não executáveis ​​em tipos executáveis. Eles podem então tentar carregar conteúdo malicioso em seu site, disfarçando-o como outra coisa.

Por padrão, o cabeçalho Redirection X-Content-Type-Options usa a diretiva nosniff. Isso bloqueia todas as solicitações se o destino for do tipo estilo e o tipo MIME não é texto / css. Também bloqueia solicitações se o destino for do tipo texto e o tipo MIME não é um tipo MIME JavaScript. Com essa configuração em vigor, o navegador deve usar o tipo MIME enviado pelo servidor de origem.

A diretiva nosniff também ativa a proteção Cross-Origin Read Blocking (CORB) para vários tipos de MIME, incluindo text / html e application / json. CORB é um algoritmo que pode identificar e bloquear uploads de recursos de origem cruzada em navegadores da web antes que eles atinjam sua página. Na maioria dos navegadores, isso pode manter as informações confidenciais fora de contextos de script não confiáveis, dificultando o roubo de seus dados por hackers.

4. Política de segurança de conteúdo

A Redirect Content Security Policy (CSP) adiciona uma camada adicional de segurança que pode ajudar a fortalecer seu site contra vários ataques comuns. Por padrão, o redirecionamento usa o seguinte:

default-src 'self'; script-src 'unsafe-inline' 'unsafe-eval' http:; style-src 'unsafe-inline' http:; img-src http: data:; font-src http: data:; sandbox allow-forms allow-scripts

Este CSP afirma que todo o conteúdo deve vir do próprio domínio do site e também define uma fonte válida para imagens e fontes. Isso pode impedir que o navegador carregue recursos não confiáveis.

Você também pode usar o caixa de areia atributo para definir um conjunto adicional de restrições para o conteúdo no iframe. Esta pode ser uma lista separada por espaços de valores predefinidos, como podemos ver no atributo padrão do plugin de redirecionamento:

 sandbox allow-forms allow-scripts

Aqui, o redirecionamento permite o envio de formulários e scripts. CSP é um tópico enorme, por isso recomendamos consultar um lista completa de todos os valores possíveis para ver quais políticas de segurança diferentes você pode criar.

5. Política de referência

Ao escrever conteúdo, você geralmente inclui links para sites externos. Sempre que um visitante clicar em um desses links, o site de destino receberá informações sobre a origem dessa pessoa.

Os dados de referência podem ser inestimáveis ​​para ajudar os sites a entenderem seu tráfego. No entanto, às vezes você pode precisar restringir a quantidade de informações que você compartilha com esses terceiros. Isso é particularmente importante se o ponto de origem contiver dados confidenciais que possam identificar os usuários. O vazamento de informações pessoais através das origens pode comprometer a privacidade do seu público e fornecer aos hackers mais informações com as quais trabalhar.

Você pode controlar a quantidade de dados que são enviados por meio do Cabeçalho de referência, usando a política de referência. Por padrão, o plugin de redirecionamento usa o valor no-referrer-when-downgrade. Isso evita que o navegador envie o cabeçalho do referenciador ao navegar de HTTPS para o HTTP menos seguro. Você pode substituir no-referrer-when-downgrade com uma gama de valores alternativos:

O cabeçalho de segurança HTTP da política de referência.

As opções possíveis incluem no-referrer, que instrui o navegador a nunca enviar o cabeçalho Referer com solicitações feitas em seu site. Você pode dar uma olhada os documentos da web MDN para obter mais informações sobre as configurações de política de referência.

Conclusão

Como proprietário de um site, você deve proteger seu CMS contra uma ampla variedade de ataques. Os cabeçalhos de segurança HTTP podem restringir as ações que os servidores e navegadores podem realizar, o que pode ser inestimável na proteção do seu site contra as principais ameaças à segurança.

Vamos recapitular cinco cabeçalhos de segurança HTTP que você pode adicionar ao seu site usando o Plug-in de redirecionamento:

  1. Opções de X-Frame
  2. Proteção X-XSS
  3. X-Content-Type-Options
  4. Política de segurança de conteúdo
  5. Política de referência

Tem alguma dúvida sobre algum desses cabeçalhos de segurança HTTP? Pergunte na seção de comentários abaixo!

Compartilhe este Link:

Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no pinterest
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no telegram

Deixe um comentário

Receba nossos preços
e condções direto no seu email

Por favor, preencha os campos abaixo:

Preferência de contato: