http security headers

HTTP sigurnosna zaglavlja omogućuju dodavanje dodatnog sloja sigurnosti na WordPress web stranicu i mogu pomoći u blokiranju uobičajene zlonamjerne aktivnosti kako ne bi utjecale na izvedbu web stranice. U ovoj objavi pokazat ćemo vam kako dodati HTTP Security Headers u WordPress pomoću .htaccess datoteke.

Što su HTTP sigurnosna zaglavlja (HTTP Security Headers)

HTTP sigurnosna zaglavlja sigurnosna su mjera koja omogućuje poslužitelju web stranice sprečavanje uobičajenih sigurnosnih prijetnji. Kada korisnik posjeti vašu WordPress web stranicu, vaš web poslužitelj šalje HTTP zaglavlja u korisnikov preglednik koja omogućuju web preglednicima da primijene dodatne sigurnosne kontrole radi zaštite korisnika od različitih sigurnosnih ranjivosti.

Normalni odgovor zaglavlja (header response) daje status koji se zove HTTP 200, nakon čega se web stranica učitava u pregledniku korisnika. Međutim, ako stranica ima poteškoća, poslužitelj može poslati drugačije HTTP zaglavlje. Na primjer, može poslati internu grešku poslužitelja 500 ili 404 grešku (sadržaj nije pronađen).

HTTP sigurnosna zaglavlja su podskup ovih zaglavlja i koriste se za osiguranje web stranice od uobičajenih sigurnosnih prijetnji poput Click-jacking, Brute Force napada i sl.

HTTP sigurnosna zaglavlja i kako štite web stranicu

  • HTTP Strict Transport Security (HSTS): omogućuje web poslužiteljima da zahtijevaju da se sve veze sa stranicom obavljaju preko HTTPS-a, čime se sprječava napadačima da pristupe osjetljivim podacima putem nesigurne veze.

  • Content Security Policy (CSP): omogućuje web poslužiteljima da specificiraju koje vrste sadržaja (npr. JavaScript koda, CSS-a, slika itd.) su dopuštene da se učitaju na stranici. Ovo pomaže u sprečavanju napada poput XSS-a (Cross-Site Scripting), gdje napadači ubacuju zlonamjerni kod na stranicu koju posjećuje korisnik.

  • X-Frame-Options: omogućuje web poslužiteljima da specificiraju koje stranice imaju dopuštenje za učitavanje sadržaja u iframe elemente. To sprječava napadače da postave web stranice u iframe elemente i tako prisile korisnike na akcije koje nisu htjeli izvršiti.

HTTP zaglavlja najbolje funkcioniraju kada su postavljena na razini web poslužitelja što omogućuje rano pokretanje tijekom tipičnog HTTP zahtjeva i pruža maksimalnu korist. HTTP sigurnosna zaglavlja možemo dodati na više načina, a jedan od najlakših i najboljih načina je dodavanje HTTP sigurnosnih zaglavlja u .htaccess datoteku.

Kako dodati HTTP sigurnosna zaglavlja u .htaccess datoteku

.htaccess je konfiguracijska datoteka poslužitelja koju koristi najčešće korišten softver web poslužitelja Apache. Da biste pronašli ovu datoteku potrebno je povezati se na web stranicu putem FTP-a ili pronaći datoteku u cPanelu (upravljačkoj ploči pružatelja hostinga). U korijenskoj mapi public_html možete pronaći .htaccess datoteku, a ako je ne vidite vjerojatno je potrebno u gornjem desnom kutu u postavkama omogućiti vidljivost skrivenih datoteka.

Kad nađete .htaccess datoteku otvorite je u uređivaču običnog teksta te na dnu dodajte kôd za dodavanje HTTP sigurnosnih zaglavlja. Možete koristiti kôd u nastavku kojim ćete postaviti najčešće korištena HTTP sigurnosna zaglavlja s optimalnim postavkama:

Copy to Clipboard

Nakon umetanja ovog kôda, spremite datoteku i provjerite radi li stranica ispravno.

Kako provjeriti jesu li dobro postavljena HTTP sigurnosna zaglavlja

Kad se uvjerite da web stranica nakon uređivanja .htaccess datoteke normalno funkcionira, možete dodatno provjeriti jesu li HTTP sigurnosna zaglavlja ispravno postavljena. Svoju konfiguraciju možete provjeriti pomoću besplatnog alata Security Headers. Jednostavno upišite URL svoje web stranice i pritisnite gumb „Skeniraj“. Ako je sve u redu, ocjena bi trebala biti A+.

Kako dodati http sigurnosna zaglavlja u .htaccess datoteku

Zaključak

Dodavanje HTTP sigurnosnih zaglavlja ponekad može uzrokovati probleme, međutim kôd iznad testiran je na brojnim WordPress web stranicama i trebao bi uredno funkcionirati. Ako se pojave problemi, HTTP security headers moguće je postaviti i na druge načine koji su objašnjeni u ovoj objavi: How to Add HTTP Security Headers in WordPress (Beginner’s Guide).

Nadamo se da vam je ova objava pomogla u povećanju sigurnosti vaše web stranice, a za još korisnih savjeta pregledajte sve objave iz našeg bloga.

Upute za korištenje WordPress CMS sustava