مقدمه
سایت شما هر لحظه ممکن است توسط هکرها مورد حمله قرار گیرد. هکرها می توانند اطلاعات شخصی شما، مانند نام کاربری، رمز عبور، و اطلاعات کارت اعتباری را سرقت کنند. همچنین، می توانند سایت شما را خراب کنند یا حتی آن را از دسترس خارج نمایند.
خبر خوب این است که می توانید با تنظیم هدر های امنیتی در وردپرس، خطر وقوع این حملات را به میزان قابل توجهی کاهش دهید.
اهمیت هدر های امنیتی در وردپرس
هدر های امنیتی در وردپرس، مجموعه ای از دستوراتی هستند که به مرورگرها می گویند چگونه با سایت شما ارتباط برقرار کنند. این هدر ها می توانند به محافظت از سایت شما در برابر انواع مختلفی از حملات امنیتی کمک کنند، از جمله:
حملات XSS: این حملات به هکرها اجازه می دهند تا کد مخربی را در سایت شما قرار دهند. این کد می تواند به سرقت اطلاعات شخصی شما، مانند نام کاربری، رمز عبور، و اطلاعات کارت اعتباری شما، منجر شود.
حملات CSRF: این حملات به هکرها اجازه می دهند تا اقداماتی را در سایت شما انجام دهند، بدون اینکه شما از آن آگاه باشید. به عنوان مثال، می توانند از حساب شما برای خرید کالا یا خدمات استفاده کنند.
حملات فیلترینگ: این حملات به هکرها اجازه می دهند تا محتوای نامناسب را در سایت شما قرار دهند. این محتوا می تواند شامل تبلیغات، تصاویر نامناسب، یا حتی محتوای مخرب باشد.
با تنظیم صحیح هدر های امنیتی سایت وردپرس، می توانید خطر وقوع این حملات را به میزان قابل توجهی کاهش دهید.
نحوه تنظیم هدر های امنیتی در وردپرس
برای تنظیم هدر های امنیتی سایت وردپرس، می توانید از دو روش زیر استفاده کنید:
روش اول: استفاده از افزونه
بسیاری از افزونه های وردپرس وجود دارند که می توانند به شما در تنظیم هدر های امنیتی سایت وردپرس کمک کنند.
یکی از افزونه های خوب در این زمینه Headers Security Advanced & HSTS WP است که با نصب آن اغلب هدر های امنیتی در سایت شما نصب می شوند.
روش دوم: تنظیم دستی هدر ها
در صورتی که نمی خواهید از افزونه استفاده کنید، می توانید هدر ها را به صورت دستی در فایل .htaccess سایت خود تنظیم کنید.
برای تنظیم هدر ها به صورت دستی، مراحل زیر را دنبال کنید:
- فایل .htaccess سایت خود را باز کنید.
- کدهای زیر را در انتهای فایل قرار دهید:
<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>
این کد ها هدر های امنیتی زیر را برای سایت شما تنظیم می کنند:
- Strict-Transport-Security: این هدر به مرورگرها می گوید که باید برای اتصال به سایت شما فقط از HTTPS استفاده کنند. این کار می تواند به جلوگیری از حملات Man-in-the-Middle کمک کند.حملات Man-in-the-Middle (MITM) حملاتی هستند که در آن هکر در میان ارتباط بین یک کاربر و یک سرور قرار می گیرد. این حملات می توانند برای سرقت اطلاعات، مانند نام کاربری، رمز عبور، و اطلاعات کارت اعتباری، استفاده شوند.
- X-XSS-Protection: این هدر به مرورگرها می گوید که باید از اجرای کد XSS در سایت شما جلوگیری کنند.
- X-Content-Type-Options: این هدر به مرورگرها می گوید که باید از اجرای محتوای غیرقابل اعتماد در سایت شما جلوگیری کنند.
- X-Frame-Options: این هدر به مرورگرها می گوید که نباید سایت شما را در یک پنجره یا قاب کوچکتر از یک سایت دیگر نمایش دهند.نمایش سایت شما در یک فریم از یک سایت دیگر می تواند به دلایل مختلفی خطرناک باشد. به عنوان مثال
هکر می تواند از این کار برای فریب کاربران استفاده کند. هکر می تواند یک دکمه خرید مخرب را در سایت خود قرار دهد و سپس سایت شما را در یک فریم در سایت خود نمایش دهد. زمانی که یک کاربر روی دکمه خرید کلیک می کند، در واقع از حساب شما برای خرید کالا یا خدمات استفاده می کند.
هکر می تواند از این کار برای سرقت اطلاعات شخصی شما استفاده کند. هکر می تواند یک فرم ورود به سیستم مخرب را در سایت خود قرار دهد و سپس سایت شما را در یک فریم در سایت خود نمایش دهد. زمانی که یک کاربر اطلاعات شخصی خود را در فرم وارد می کند، هکر می تواند این اطلاعات را سرقت کند.
Referrer-Policy: این هدر به مرورگرها می گوید که چه اطلاعاتی را در درخواست های ارجاع داده شده ارسال کنند.فرض کنید شما یک سایت وردپرس دارید که در آن کاربران می توانند خرید کنند. یک هکر می تواند یک لینک مخرب را در یک ایمیل یا پیامک به شما ارسال کند. زمانی که شما روی آن لینک کلیک کنید، بدون اینکه متوجه شوید، یک سفارش جدید در سایت شما ثبت می شود.
برای اطلاع بیشتر می توانید به لینک زیر مراجعه کنید
https://www.wpbeginner.com/beginners-guide/how-to-add-http-security-headers-in-wordpress/
چگونه مطمئن شویم هدر های امنیتی درست کار می کنند؟
برای اطمینان از اینکه کد ها به درستی کار می کنند، می توانید از ابزارهای آنلاین مانند HSTS Validator و Security Headers Checker استفاده کنید.
