日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

確保為您的wordpress網(wǎng)站正確設(shè)置安全性非常重要，尤其是在保護(hù)自己免受黑客攻擊方面。您可以實(shí)施許多不同的增強(qiáng)功能和最佳WordPress安全實(shí)踐，以確保您的網(wǎng)站被鎖定。

如果您的WordPress網(wǎng)站通過httpS運(yùn)行，那么我們建議實(shí)施的增強(qiáng)功能之一是HSTS安全標(biāo)頭，因?yàn)樗梢詭椭乐怪虚g人攻擊 (MitM) 和cookie劫持。

• HSTS（嚴(yán)格傳輸安全）
• 如何將HSTS添加到WordPress網(wǎng)站
• 驗(yàn)證HSTS標(biāo)頭
• HSTS對SEO的影響

什么是HSTS（嚴(yán)格的傳輸安全）？

HSTS代表HTTP嚴(yán)格傳輸安全性，由IETF在2012年的RFC 6797中指定。創(chuàng)建它是為了在站點(diǎn)通過HTTPS運(yùn)行時(shí)強(qiáng)制瀏覽器使用安全連接。它是您添加到Web服務(wù)器的安全標(biāo)頭，并在響應(yīng)標(biāo)頭中反映為Strict-Transport-Security。HSTS很重要，因?yàn)樗鉀Q了以下問題：

• 訪問者嘗試使用您網(wǎng)站頁面的不安全版本 (HTTP://) 的任何嘗試都將自動(dòng)轉(zhuǎn)發(fā)到安全版本 (HTTPS://)。
• 舊的HTTP書簽和輸入您網(wǎng)站的HTTP版本的人會(huì)讓您面臨中間人攻擊。在這些攻擊中，攻擊者改變各方之間的通信并誘使他們認(rèn)為他們?nèi)栽谙嗷ネㄐ拧?/li>
• 不允許覆蓋無效的證書消息，這反過來又保護(hù)了訪問者。
• Cookie劫持：當(dāng)有人通過不安全的連接竊取會(huì)話cookie時(shí)，就會(huì)發(fā)生這種情況。Cookie可以包含各種有價(jià)值的信息，例如信用卡信息、姓名、地址等。

如何將HSTS添加到WordPress網(wǎng)站

從技術(shù)上講，您將HSTS添加到Web服務(wù)器本身，然后將其應(yīng)用于對您的WordPress站點(diǎn)的HTTP請求。通常在從HTTP重定向到HTTPS時(shí)會(huì)添加301重定向。Google已正式表示您可以同時(shí)使用301服務(wù)器重定向和HSTS標(biāo)頭。

雖然我們的系統(tǒng)默認(rèn)更喜歡HTTPS版本，但您也可以通過將您的HTTP站點(diǎn)重定向到您的HTTPS版本并在您的服務(wù)器上實(shí)施HSTS標(biāo)頭，使其他搜索引擎更清楚這一點(diǎn)。 Zineb Ait Bahajji，谷歌安全團(tuán)隊(duì)

有不同類型的指令和/或安全級別可以應(yīng)用于HSTS標(biāo)頭。下面是使用max-age指令的最基本的一種。這定義了Web服務(wù)器應(yīng)僅通過HTTPS傳送的時(shí)間（以秒為單位）。

在Apache中啟用HSTS

將以下代碼添加到您的虛擬主機(jī)文件中。

Header always set Strict-Transport-Security max-age=31536000

在NGINX中啟用 HSTS

將以下代碼添加到您的NGINX配置中。

add_header Strict-Transport-Security max-age=31536000

事實(shí)上，添加HSTS標(biāo)頭有性能優(yōu)勢。如果有人試圖通過HTTP訪問您的站點(diǎn)，而不是發(fā)出HTTP請求，它只是重定向到HTTPS版本。

預(yù)加載HSTS

還有HSTS預(yù)加載。這基本上是將您的網(wǎng)站和/或域放入瀏覽器中實(shí)際內(nèi)置的已批準(zhǔn)HSTS列表中。谷歌官方編譯了這個(gè)列表，它被Chrome、Firefox、Opera、Safari、IE11和Edge使用。將您的站點(diǎn)提交到官方HSTS預(yù)加載列表。

預(yù)加載HSTS

但是，您必須滿足一些額外要求才有資格。

為此，它需要將額外的子域和預(yù)加載指令添加到您的HSTS標(biāo)頭中。以下是更新后的HSTS標(biāo)頭的示例。

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

公平警告：從預(yù)加載列表中刪除您的域可能是一個(gè)困難且耗時(shí)的過程，因此請確保您將長期使用HTTPS。

驗(yàn)證HSTS標(biāo)頭

有幾種簡單的方法可以檢查HSTS是否在您的WordPress網(wǎng)站上運(yùn)行。您可以啟動(dòng)Google Chrome Devtools，單擊“網(wǎng)絡(luò)”選項(xiàng)卡并查看標(biāo)題選項(xiàng)卡。正如您在下面的閃電博網(wǎng)站上看到的那樣，正在應(yīng)用HSTS值：“strict-transport-security: max-age=31536000”。

您還可以使用免費(fèi)的在線工具（如securityheaders.io）掃描您的WordPress網(wǎng)站，該工具會(huì)讓您知道是否應(yīng)用了strict-transport-security標(biāo)頭。

HSTS瀏覽器支持

根據(jù)Caniuse的說法，瀏覽器對HSTS的支持非常廣泛，全球超過80%，美國超過95%。2015年在IE11中添加了對HSTS的支持，目前唯一不支持它的現(xiàn)代瀏覽器是Opera Mini。

我們還建議您查看Tim Kadlec關(guān)于HSTS和Let’s Encrypt的這篇文章。

HSTS對SEO的影響

在您的網(wǎng)站獲得批準(zhǔn)并包含在HSTS預(yù)加載列表中后，您可能會(huì)注意到來自Google Search Console或其他第三方SEO工具的關(guān)于307重定向的警告。這是因?yàn)楫?dāng)有人嘗試通過HTTP訪問您的網(wǎng)站時(shí)，瀏覽器中會(huì)發(fā)生307重定向，而不是301重定向（如下所示）。

HSTS – 嚴(yán)格傳輸安全307重定向

通常307重定向僅用于臨時(shí)重定向。301重定向用于已永久移動(dòng)的URL。那么它不應(yīng)該使用301重定向嗎？那么這對SEO的影響呢？

嗯，事實(shí)上，301重定向仍在幕后發(fā)生。307重定向發(fā)生在瀏覽器級別，而不是服務(wù)器級別。您可以通過在服務(wù)器級別檢查重定向的工具（例如httpstatus ）運(yùn)行該站點(diǎn)，您會(huì)發(fā)現(xiàn)實(shí)際上301重定向仍在發(fā)生。因此，您無需擔(dān)心HSTS標(biāo)頭會(huì)影響您的SEO。

HSTS 301重定向

網(wǎng)站標(biāo)題：HSTS–如何使用HTTP嚴(yán)格傳輸安全
文章出自：http://www.dlmjj.cn/article/dpgecho.html