Saiba como adicionar cabeçalhos HTTP para segurança do seu WordPress

Você deseja adicionar cabeçalhos de segurança HTTP no WordPress?

Os cabeçalhos de segurança HTTP permitem que você adicione uma camada extra de segurança ao seu site WordPress. Eles podem ajudar a evitar que atividades maliciosas comuns afetem o desempenho do seu site.

Neste guia para iniciantes, mostraremos como adicionar facilmente cabeçalhos de segurança HTTP no WordPress.

O que são cabeçalhos de segurança HTTP?

Os cabeçalhos de segurança HTTP são uma medida de segurança que permite que o servidor do seu site evite algumas ameaças de segurança comuns antes que afetem o seu site.

Basicamente, quando um usuário visita seu site, seu servidor web envia uma resposta de cabeçalho HTTP ao navegador. Esta resposta informa os navegadores sobre códigos de erro, controle de cache e outros status.

A resposta normal do cabeçalho emite um status chamado HTTP 200. Depois disso, o seu site é carregado no navegador do usuário. No entanto, se o seu site estiver com problemas, o servidor da web pode enviar um cabeçalho HTTP diferente.

Por exemplo, você pode enviar um erro interno do servidor 500 ou um código de erro 404 não encontrado.

Os cabeçalhos de segurança HTTP são um subconjunto desses cabeçalhos e são usados ​​para evitar que os sites recebam ameaças comuns, como clickjacking, script entre sites, ataques de força bruta e muito mais.

Vamos dar uma olhada rápida na aparência dos cabeçalhos de segurança HTTP e o que eles fazem para proteger seu site.

HTTP Strict Transport Security (HSTS)

O cabeçalho HTTP Strict Transport Security (HSTS) informa aos navegadores da web que seu site usa HTTP e não deve ser carregado usando um protocolo inseguro como HTTP.

Se você moveu seu site WordPress de HTTP para HTTP, este cabeçalho de segurança permite que você evite que os navegadores carreguem seu site em HTTP.

Proteção X-XSS

O cabeçalho de proteção X-XSS permite que você bloqueie o carregamento de script entre sites em seu site WordPress.

Opções de X-Frame

O cabeçalho de segurança X-Frame-Options impede iframes entre domínios ou click-jacking.

X-Content-Type-Options

X-Content-Type-Options bloqueia o rastreamento de conteúdo mime.

Dito isso, vamos dar uma olhada em como adicionar facilmente cabeçalhos de segurança HTTP no WordPress.

Adicionar cabeçalhos de segurança HTTP no WordPress

Os cabeçalhos de segurança HTTP funcionam melhor quando configurados no nível do servidor da web (ou seja, sua conta de hospedagem WordPress). Isso permite que eles sejam acionados no início durante uma solicitação HTTP típica e fornece o benefício máximo.

Eles funcionam ainda melhor se você estiver usando um firewall de aplicativo de site de nível DNS, como Sucuri ou Cloudflare. Mostraremos cada método e você poderá escolher o que melhor se adapta às suas necessidades.

Aqui estão links rápidos para diferentes métodos, você pode pular para aquele que melhor se adequa a você.

1. Adicione cabeçalhos de segurança HTTP no WordPress usando Sucuri

Sucuri é o melhor plugin de segurança para WordPress do mercado. Se você também estiver usando o serviço de firewall do seu site, poderá configurar os cabeçalhos de segurança HTTP sem escrever nenhum código.

Primeiro, você precisa se registrar para uma conta na Sucuri. É um serviço pago que vem com um firewall de site no nível do servidor, um plug-in de segurança, CDN e uma garantia de remoção de malware.

Durante o registro, você responderá a perguntas simples e a documentação da Sucuri o ajudará a configurar o firewall do aplicativo do site em seu site.

Após o registro, você precisa instalar e ativar o aplicativo gratuito Plugin Sucuri. Para obter mais detalhes, verifique nosso guia passo a passo sobre como instalar um plugin do WordPress.

Após a ativação, vá para Segurança Sucuri »Firewall (WAF) e insira sua chave de API do Firewall. Você pode encontrar essas informações em sua conta no site da Sucuri.

Chave de API Sucuri WAF

Clique no botão Salvar para armazenar suas alterações.

Em seguida, você precisa mudar para o painel de controle da sua conta Sucuri. A partir daqui, clique no menu Configurações na parte superior e mude para a guia Segurança.

Configurando cabeçalhos de segurança HTTP em Sucuri

A partir daqui, você pode escolher três conjuntos de regras. A proteção padrão, HSTS e HSTS Full. Você verá quais cabeçalhos de segurança HTTP serão aplicados a cada conjunto de regras.

Clique no botão ‘Salvar alterações em títulos adicionais’ para aplicar suas alterações.

É isso, a Sucuri agora adicionará seus cabeçalhos de segurança HTTP selecionados no WordPress. Por ser um WAF de nível DNS, o tráfego do seu site é protegido de hackers antes mesmo de eles chegarem ao seu site.

2. Adicione cabeçalhos de segurança HTTP no WordPress usando Cloudflare

A Cloudflare oferece um firewall de site básico gratuito e serviço CDN. Ele não possui recursos de segurança avançados em seu plano gratuito, então você precisará atualizar para seu plano Pro, mais caro.

Para adicionar Cloudflare em seu site, confira nosso tutorial sobre como adicionar Cloudflare CDN grátis no WordPress.

Assim que o Cloudflare estiver ativo em seu site, vá para a página SSL / TLS no painel de sua conta do Cloudflare e mude para a guia Certificados de borda.

Configurando cabeçalhos de segurança HTTPS no Cloudflare

Agora, role para baixo até a seção HTTP Strict Transport Security (HSTS) e clique no botão ‘Ativar HSTS’.

Ativar HSTS no Cloudflare

Uma janela pop-up aparecerá com instruções dizendo que você deve ter HTTPS habilitado em seu blog do WordPress antes de usar este recurso. Clique no botão Avançar para continuar e você verá as opções para adicionar cabeçalhos de segurança HTTP.

Ativar cabeçalhos de segurança HTTPS no Cloudflare

A partir daqui, você pode habilitar HSTS, cabeçalho sem rastreamento, aplicar HSTS a subdomínios (se eles estiverem usando HTTPS) e pré-carregar HSTS.

Este método fornece proteção básica usando cabeçalhos de segurança HTTP. No entanto, ele não permite que você adicione X-Frame-Options e o Cloudflare não tem uma interface de usuário para fazer isso.

Você ainda pode fazer isso criando um script com a função Workers. No entanto, a criação de um script de cabeçalho de segurança HTTPS pode causar problemas inesperados para iniciantes, portanto, não o recomendamos.

3. Adicione cabeçalhos de segurança HTTP no WordPress usando .htaccess

Este método permite configurar cabeçalhos de segurança HTTP no WordPress no nível do servidor.

Requer que você edite o arquivo .htaccess em seu site. É um arquivo de configuração de servidor usado pelo software de servidor da Web Apache mais amplamente usado.

Basta conectar-se ao seu site usando um cliente FTP ou o aplicativo gerenciador de arquivos no painel de controle de sua hospedagem. Na pasta raiz do seu site, você precisa localizar o arquivo .htaccess e editá-lo.

Edite o arquivo .htaccess no WordPress

Isso abrirá o arquivo em um editor de texto simples. Na parte inferior do arquivo, você pode adicionar o código para adicionar cabeçalhos de segurança HTTPS ao seu site WordPress.

Você pode usar o seguinte código de exemplo como ponto de partida, definir os cabeçalhos de segurança HTTPs mais comumente usados ​​com as configurações ideais:

<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>

Certifique-se de salvar suas alterações e visitar seu site para ter certeza de que tudo funciona conforme o esperado.

Observação: Cabeçalhos incorretos ou conflitos no arquivo .htaccess podem causar um erro interno do servidor 500 na maioria dos servidores da web.

4. Adicione cabeçalhos de segurança HTTP no WordPress usando o plugin

Este método é um pouco menos eficaz, pois depende de um plugin do WordPress para modificar os cabeçalhos. No entanto, também é a maneira mais fácil de adicionar cabeçalhos de segurança HTTP ao seu site WordPress.

Primeiro, você deve instalar e ativar o Redirecionamento plugue. Para obter mais detalhes, verifique nosso guia passo a passo sobre como instalar um plugin do WordPress.

Após a ativação, o plug-in exibirá um assistente de configuração que você pode seguir para configurar o plug-in. Depois disso vá para Ferramentas »Redirecionamento página e mude para a guia ‘Site’.

Configurações do site no plugin de redirecionamento

Em seguida, você precisa rolar até a parte inferior da página até a seção Cabeçalhos HTTP e clicar no botão ‘Adicionar cabeçalho’. No menu suspenso, você precisa selecionar a opção ‘Adicionar predefinições de segurança’.

Adicionando predefinições de cabeçalho usando redirecionamento

Depois disso, você precisará clicar nele novamente para adicionar essas opções. Agora, você verá uma lista predefinida de cabeçalhos de segurança HTTP na tabela.

Predefinições de cabeçalho de segurança HTTP

Esses cabeçalhos são otimizados para segurança, você pode revisá-los e alterá-los se necessário. Quando terminar, não se esqueça de clicar no botão Atualizar para salvar suas alterações.

Agora você pode visitar o site deles para verificar se tudo está funcionando corretamente.

Como verificar os cabeçalhos de segurança HTTP de um site

Agora que você adicionou cabeçalhos de segurança HTTP ao seu site. Você pode testar sua configuração usando o Cabeçalhos de segurança ferramenta. Basta inserir o URL do seu site e clicar no botão Scan.

Verificando cabeçalhos de segurança do WordPress

Em seguida, ele verificará os cabeçalhos de segurança HTTP do seu site e mostrará um relatório. A ferramenta geraria uma tag de classificação que você pode ignorar, já que a maioria dos sites obteria uma classificação B ou C, na melhor das hipóteses, sem afetar a experiência do usuário.

Ele mostrará quais cabeçalhos de segurança HTTP seu site envia e quais cabeçalhos de segurança não estão incluídos. Se os cabeçalhos de segurança que você deseja configurar estiverem listados lá, você concluiu.

É isso, esperamos que este artigo tenha ajudado você a aprender como adicionar cabeçalhos de segurança HTTP no WordPress. Você também pode verificar nosso guia de segurança WordPress completo e nossa escolha especializada dos melhores plug-ins WordPress para sites de negócios.

Compartilhe este Link:

Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no pinterest
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no telegram

Deixe um comentário

Receba nossos preços
e condções direto no seu email

Por favor, preencha os campos abaixo:

Preferência de contato: