內容簡介
總結:WP Fix It Easy Security Headers 為您提供一個簡單的頁面,讓您可以在工具→安全標頭下切換常見的 HTTP 安全標頭。
1. 這個外掛可以在哪個工具下找到?
- 在 Tools(工具)→ Security Headers(安全標頭)下可以找到。
2. 啟用後,默認啟用了哪些安全標頭?
- Strict-Transport-Security (HSTS)
- Content-Security-Policy (CSP)
- X-Frame-Options
- X-Content-Type-Options
- Referrer-Policy
- Permissions-Policy
3. 插件中有提供一個什麼按鈕?它會做什麼?
- 插件提供了一個 "Check Headers" 按鈕,可以打開 SecurityHeaders.com,並在其中填入您網站的 URL(根據 home_url() 動態建立)。
4. 關於 Content-Security-Policy (CSP) 的注意事項是什麼?
- 這個外掛帶有一個寬鬆的預設 CSP,旨在讓它“處處有效”(允許大多數外部來源和內嵌代碼)。建議您針對您的特定站點強化指令,以獲得更好的保護。
5. 這個外掛的主要特點是什麼?
- 一鍵切換常用標頭的功能
- 動態的“Check Headers”掃描連結
- 使用 WordPress Settings API(nonce + capability 檢查)
- 遵循 PHPCS 規範的輸出轉義和過濾。
外掛標籤
開發者團隊
原文外掛簡介
WP Fix It Easy Security Headers adds a simple page under Tools → Security Headers where you can toggle common HTTP security headers:
Strict-Transport-Security (HSTS)
Content-Security-Policy (CSP)
X-Frame-Options
X-Content-Type-Options
Referrer-Policy
Permissions-Policy
On activation, all headers are enabled by default and you’re redirected to the settings screen.
For convenience, the page and the Plugins screen include a “Check Headers” button that opens SecurityHeaders.com with your site’s URL prefilled (built dynamically from home_url()).
Notes on CSP
This plugin ships with a permissive default CSP intended to “work everywhere” out of the box (allows most external sources and inline code). For stronger protection, you should harden the directives for your specific site.
Key Features
One-click toggles for popular headers
Dynamic “Check Headers” scan link
Uses the WordPress Settings API (nonce + capability checks)
Output escaping and sanitization following PHPCS