O senhor deseja adicionar cabeçalhos de segurança HTTP no WordPress?
Os cabeçalhos de segurança HTTP permitem que o senhor adicione uma camada extra de segurança ao seu site WordPress. Eles podem ajudar a impedir que atividades mal-intencionadas comuns afetem o desempenho do seu site.
Neste guia para iniciantes, mostraremos ao senhor como adicionar cabeçalhos de segurança HTTP no WordPress.
Os cabeçalhos de segurança HTTP são uma medida de segurança que permite que o servidor do seu site evite algumas ameaças comuns à segurança antes que elas possam afetar seu site.
Quando um usuário visita seu site do WordPresso servidor da Web envia uma resposta de cabeçalho HTTP para o navegador. Essa resposta informa aos navegadores sobre códigos de erro, controle de cache e outros status.
A resposta normal do cabeçalho emite um status chamado HTTP 200. Depois disso, seu site é carregado no navegador do usuário. Entretanto, se o site estiver com dificuldades, o servidor da Web poderá enviar um cabeçalho HTTP diferente.
Por exemplo, ele pode enviar um cabeçalho Erro interno do servidor 500 ou um erro 404 não encontrado código.
Os cabeçalhos de segurança HTTP são um subconjunto desses cabeçalhos. Eles são usados para proteger os sites contra ameaças comuns, como click-jacking e cross-site scripting, ataques de força brutae muito mais.
Vamos dar uma olhada rápida em alguns cabeçalhos de segurança HTTP e como eles protegem seu site WordPress:
- HTTP Strict Transport Security (HSTS) informa aos navegadores da Web que seu site usa HTTPS e não deve ser carregado usando um protocolo inseguro como o HTTP.
- Proteção X-XSS permite que o senhor bloqueie o carregamento de scripts entre sites.
- X-Frame-Options impede iframes entre domínios ou click-jacking.
- X-Content-Type-Options X-Content-Type-Options bloqueia a detecção do tipo de mime do conteúdo.
Os cabeçalhos de segurança HTTP funcionam melhor quando são definidos no nível do servidor Web, o que significa que o seu hospedagem WordPress . Isso permite que eles sejam acionados logo no início de uma solicitação HTTP típica e proporcionem o máximo de benefícios.
Eles funcionam ainda melhor se o senhor estiver usando um firewall de aplicativo de site como Sucuri ou Cloudflare.
Dito isso, vamos dar uma olhada em como adicionar facilmente cabeçalhos de segurança HTTP no WordPress. Aqui estão links rápidos para diferentes métodos, para que o senhor possa ir para o que mais lhe convém:
Sucuri é uma das melhores plug-ins de segurança do WordPress do mercado. Se o senhor estiver usando o serviço de firewall do site deles, poderá definir cabeçalhos de segurança HTTP sem escrever nenhum código.
Primeiro, o senhor precisará se inscrever em um Sucuri conta. É um serviço pago que vem com um firewall de site em nível de servidor, plug-in de segurança, CDN e garantia de remoção de malware.
Durante a inscrição, o senhor precisará responder a perguntas simples, e a documentação da Sucuri o ajudará a configurar o firewall de aplicativo de site no seu site.
Depois de se inscrever, o senhor deve instalar e ativar o software gratuito plugin da Sucuri. Para obter mais detalhes, consulte nosso guia passo a passo sobre Como instalar um plug-in do WordPress.
Após a ativação, o senhor precisa ir para Sucuri Security ” Firewall (WAF) e insira sua chave API do Firewall. O senhor pode encontrar essas informações em sua conta no site da Sucuri.
Depois disso, o senhor precisará clicar no botão verde “Save” (Salvar) para armazenar as alterações.
Em seguida, o senhor deve acessar o painel de controle da sua conta Sucuri. A partir daí, clique no menu “Settings” (Configurações) na parte superior e, em seguida, vá para a guia “Security” (Segurança).
A partir daqui, o senhor pode escolher três conjuntos de regras. A proteção padrão funcionará bem para a maioria dos sites.
Se o senhor tiver um plano Professional ou Business, também terá opções para HSTS e HSTS Full. O senhor pode ver quais cabeçalhos de segurança HTTP serão aplicados a cada conjunto de regras.
O senhor precisa clicar no botão “Save Changes in the Additional Headers” (Salvar alterações nos cabeçalhos adicionais) para aplicar suas alterações.
A Sucuri agora adicionará os cabeçalhos de segurança HTTP selecionados no WordPress. Como se trata de um WAF no nível do DNS, o tráfego do seu site é protegido contra hackers antes mesmo de chegar ao site.
Cloudflare oferece um serviço básico gratuito de firewall de site e CDN. Ele não possui recursos avançados de segurança em seu plano gratuito, portanto, o senhor precisará fazer upgrade para o plano Pro, que é mais caro.
O senhor pode saber como adicionar o Cloudflare ao seu site seguindo nosso tutorial sobre Como configurar a CDN gratuita da Cloudflare no WordPress.
Quando a Cloudflare estiver ativa em seu site, o senhor deve ir para a página SSL/TLS no painel da sua conta da Cloudflare e, em seguida, mudar para a guia “Edge Certificates”.
Agora, role a tela para baixo até a seção “HTTP Strict Transport Security (HSTS)”.
Depois de encontrá-la, o senhor precisa clicar no botão “Enable HSTS” (Ativar HSTS).
Isso abrirá uma janela pop-up com instruções informando que o senhor deve ter o HTTPS ativado em seu site antes de usar esse recurso.
Se o seu Blog do WordPress já tem uma conexão HTTPS segura, então o senhor pode clicar no botão “Next” para continuar. O senhor verá as opções para adicionar cabeçalhos de segurança HTTP.
A partir daqui, o senhor pode ativar o HSTS, aplicar o HSTS a subdomínios (se os subdomínios estiverem usando HTTPS), pré-carregar o HSTS e ativar o cabeçalho no-sniff.
Esse método fornece proteção básica usando cabeçalhos de segurança HTTP. No entanto, ele não permite que o senhor adicione X-Frame-Options, e o Cloudflare não tem uma interface de usuário para fazer isso.
O senhor ainda pode fazer isso criando um script usando o Trabalhadores da Cloudflare . No entanto, não recomendamos isso porque a criação de um script de cabeçalho de segurança HTTPS pode causar problemas inesperados para iniciantes.
Esse método permite que o senhor defina os cabeçalhos de segurança HTTP no WordPress no nível do servidor.
Requer a edição do arquivo .htaccess em seu site. Esse arquivo de configuração do servidor é usado pelo software de servidor da Web Apache mais comumente usado.
Observação: Antes de fazer qualquer alteração nos arquivos de seu site, recomendamos que fazer um backup.
Em seguida, basta conectar-se ao seu site usando um cliente FTP ou o gerenciador de arquivos no painel de controle de sua hospedagem na Web. Na pasta raiz do seu site, o senhor precisa localizar o arquivo .htaccess e editá-lo.
Isso abrirá o arquivo em um editor de texto simples. Na parte inferior do arquivo, o senhor pode adicionar algum código para adicionar cabeçalhos de segurança HTTPS ao seu site WordPress.
O senhor pode usar o seguinte código de amostra como ponto de partida. Ele define os cabeçalhos de segurança HTTP mais comumente usados com as configurações ideais:
<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>
Não se esqueça de salvar as alterações e visitar o site para ter certeza de que tudo está funcionando como esperado.
Observação: Tome cuidado ao editar o código em seu site. Cabeçalhos incorretos ou conflitos no arquivo .htaccess podem acionar o 500 Internal Server Error (Erro interno do servidor 500).
All in One SEO (AIOSEO) é o a melhor ferramenta de SEO para WordPress e tem a confiança de mais de 3 milhões de empresas. O plugin premium permite que o senhor adicione facilmente cabeçalhos de segurança HTTP ao seu site.
A primeira coisa que o senhor precisa fazer é instalar e ativar o plugin AIOSEO no seu site. O senhor pode saber mais em nosso guia passo a passo sobre Como configurar o All in One SEO para WordPress.
Em seguida, o senhor precisa ir para o site All in One SEO ” Redirecionamentos para adicionar os cabeçalhos de segurança HTTP. Primeiro, o senhor precisará clicar no botão “Activate Redirects” (Ativar redirecionamentos) para ativar o recurso.
Quando os redirecionamentos estiverem ativados, será necessário clicar na guia “Full Site Redirect” e, em seguida, rolar para baixo até a seção “Canonical Settings”.
Basta ativar o botão de alternância “Canonical Settings” e clicar no botão “Add Security Presets”.
O senhor verá uma lista predefinida de cabeçalhos de segurança HTTP aparecer na tabela.
Esses cabeçalhos são otimizados para a segurança do site. O senhor pode revisá-los e alterá-los, se necessário.
Certifique-se de clicar no botão “Save Changes” (Salvar alterações) na parte superior ou inferior da tela para armazenar os cabeçalhos de segurança.
Agora o senhor pode visitar seu site para verificar se tudo está funcionando bem.
Agora que você adicionou cabeçalhos de segurança HTTP ao seu site, pode testar a configuração usando o aplicativo gratuito Cabeçalhos de segurança tool.
Basta digitar o URL do seu site e clicar no botão ‘Scan’.
Em seguida, a ferramenta verificará os cabeçalhos de segurança HTTP do seu site e mostrará um relatório. A ferramenta também gerará o chamado rótulo de nota, que o senhor pode ignorar, pois a maioria dos sites obterá uma pontuação B ou C sem afetar a experiência do usuário.
Ela mostrará ao senhor quais cabeçalhos de segurança HTTP são enviados pelo seu site e quais não estão incluídos. Se os cabeçalhos de segurança que o senhor deseja configurar estiverem listados lá, então está tudo pronto.
Esperamos que este artigo tenha ajudado o senhor a aprender como adicionar cabeçalhos de segurança HTTP no WordPress. Talvez o senhor também queira ver nosso artigo guia completo de segurança do WordPress e nossas escolhas de especialistas para o melhores plugins do WordPress para sites de negócios.
Se o senhor gostou deste artigo, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo sobre o WordPress. O senhor também pode nos encontrar em Twitter e Facebook.
