前言介紹
- 這款 WordPress 外掛「Security Headers」是 2015-04-09 上架。
- 目前有 4000 個安裝啟用數。
- 上一次更新是 2019-02-26,距離現在已有 2258 天。超過一年沒更新,安裝要確認版本是否可用。以及後續維護問題!
- 外掛最低要求 WordPress 3.8.1 以上版本才可以安裝。
- 外掛要求網站主機運作至少需要 PHP 版本 5.6 以上。
- 有 8 人給過評分。
- 還沒有人在論壇上發問,可能目前使用數不多,還沒有什麼大問題。
外掛協作開發者
外掛標籤
tls | hsts | https | nosniff |
內容簡介
TLS 正在變得越來越複雜。服務器名稱指示 (SNI) 現在意味著 HTTPS 網站可以使用共享 IP 地址,或以其他方式受到限制。對於這些服務器,能夠在沒有訪問 Web 服務器配置或使用 .htaccess 文件的情況下設置所需的 HTTP 標頭非常方便。
此外掛程序提供以下控制選項:
HSTS(Strict-Transport-Security)
HPKP(Public-Key-Pins)
禁用內容嗅探(X-Content-Type-Options)
XSS 防護(X-XSS-Protection)
點擊劫持防護(主站 X-Frame-Options)
Expect-CT
HSTS 用於確保未來對網站的所有連接都使用 TLS,並禁止繞過該網站的證書警告。
如果您不想僅依靠證書授權模型來進行證書發行,可以使用 HPKP。
禁用內容嗅探通常適用於允許用戶上傳具有特定類型的文件的網站,但瀏覽器可能會愚蠢地將其解釋為其他類型,進而可能造成意外攻擊。
XSS 保護重新啟用網站的 XSS 保護,如果用戶先前已禁用它,並設置“阻止”選項,以便攻擊不會被靜默忽略。
點擊劫持防護通常僅在有用戶登錄的情況下才會有用,但如果用戶請求,則可能有豐富的 WordPress 身份驗證之外的內容需要保護。
使用 Expect-CT,可以確保正確配置了證書透明度。
原文外掛簡介
TLS is growing in complexity. Server Name Indication (SNI) now means HTTPS sites may be on shared IP addresses, or otherwise restricted. For these servers it is handy to be able to set desired HTTP headers without access to the web servers configuration or using .htaccess file.
This plug-in exposes controls for:
HSTS (Strict-Transport-Security)
HPKP (Public-Key-Pins)
Disabling content sniffing (X-Content-Type-Options)
XSS protection (X-XSS-Protection)
Clickjacking mitigation (X-Frame-Options in main site)
Expect-CT
HSTS is used to ensure that future connections to a website always use TLS, and disallowing bypass of certificate warnings for the site.
HPKP is used if you don’t want to rely solely on the Certificate Authority trust model for certificate issuance.
Disabling content sniffing is mostly of interest for sites that allow users to upload files of specific types, but that browsers might be silly enough to interpret of some other type, thus allowing unexpected attacks.
XSS protection re-enables XSS protection for the site, if the user has disabled it previously, and sets the “block” option so that attacks are not silently ignored.
Clickjacking protection is usually only relevant when someone is logged in but users requested it, presumably they have rich content outside of WordPress authentication they wish to protect.
Expect-CT is used to ensure Certificate Transparency is configured correctly.
各版本下載點
- 方法一:點下方版本號的連結下載 ZIP 檔案後,登入網站後台左側選單「外掛」的「安裝外掛」,然後選擇上方的「上傳外掛」,把下載回去的 ZIP 外掛打包檔案上傳上去安裝與啟用。
- 方法二:透過「安裝外掛」的畫面右方搜尋功能,搜尋外掛名稱「Security Headers」來進行安裝。
(建議使用方法二,確保安裝的版本符合當前運作的 WordPress 環境。
0.3 |
延伸相關外掛(你可能也想知道)
TLS 1.2 Compatibility Test 》現在許多付款閘道要求使用 TLS 1.2 進行通訊。此外掛將測試您的網頁伺服器是否兼容,以確保您的電商應用程式不會遭遇停機。, 如果您的伺服器無法透過 TLS 1.2...。
Simple HTTPS 》Simple HTTPS 可以自動偵測您的網站是否正確運行於 HTTPS,並在不需要任何多餘代碼的情況下修復您的網站。只需幾個點擊,您的網站就可以轉換為 SSL。此外,此...。
HTTPS Mixed Content Detector 》在部署使用 TLS 的網站時,必須確保網站上載入的所有內容都是從安全來源載入的。, 如果您的內容來自於不安全的來源,將會危及整個網站的安全性,並且現代瀏覽...。
HTTPS Domain Alias 》這個外掛很有用,例如當你的伺服器有通配子 SSL/TLS 憑證,但每個網站都沒有。, 假設你的網站通常位於 http://example.org/,你想要保護管理區的 https,但又...。