Bạn đã bao giờ nghe về các kỹ thuật tấn công bảo mật như Clickjacking hay XSS (Cross Site Scripting) chưa? Chúng là những phương thức tấn công bảo mật rất phổ biến và nguy hiểm cho website. Tuy nhiên, chúng lại có thể bị ngăn chặn hiệu quả bởi HTTP Security Headers. Vậy HTTP Security Headers là gì? Làm thế nào để bảo mật website WordPress của bạn với HTTP Security Headers?
HTTP Security Headers là gì?
HTTP Security Headers hiểu đơn giản là các chỉ thị được thêm vào HTTP Response Header để giúp tăng cường khả năng bảo mật cho website. HTTP Security Headers bao gồm các chỉ thị cơ bản như:
- Referrer-Policy: cho phép một trang web kiểm soát lượng thông tin mà trình duyệt web bao gồm với các điều hướng ra ngoài trang web đó.
- Strict-Transport-Security: hay còn gọi là HSTS, bắt buộc người dùng phải truy cập website bằng giao thức bảo mật HTTPS.
- X-Frame-Options: cho trình duyệt web biết bạn có muốn cho phép trang web của mình được đóng khung hay không. Bằng cách ngăn chặn trình duyệt web đóng khung trang web, bạn có thể bảo vệ nó chống lại các cuộc tấn công như Clickjacking.
- X-Xss-Protection: đặt cấu hình cho các bộ lọc tập lệnh cross-site được tích hợp vào hầu hết các trình duyệt web. Nó được dùng để ngăn chặn các cuộc tấn công XSS.
- X-Content-Type-Options: ngăn chặn trình duyệt web cố gắng xác định loại nội dung (css, js, image…) và buộc nó phải tuân theo kiểu nội dung đã được khai báo.
- Content-Security-Policy: là biện pháp hiệu quả để bảo vệ trang web của bạn khỏi các cuộc tấn công XSS. Bằng các nguồn nội dung được phê duyệt trong danh sách trắng (whitelisting), bạn có thể ngăn trình duyệt tải nội dung độc hại.
- Feature-Policy: cho phép một trang web kiểm soát các tính năng và API có thể được sử dụng trong trình duyệt web.
Làm sao để kiểm tra HTTP Security Headers của website?
Bạn truy cập vào website Security Headers sau đó nhấn vào nút scan thì xem website mình đã cài đặt hay chưa?
Tiến hành cài đặt
Các bạn thêm lần lượt các đoạn code sau vào file .htaccess trong thư mục gốc
- 1.X-Content-Type-Options
Header set X-Content-Type-Options nosniff
- 2.X-Frame-Options
Header always set X-Frame-Options “SAMEORIGIN”
- 3. X-Xss-Protection
Header always set X-Xss-Protection “1; mode=block”
- 4. Content-Security-Policy
Header always set Content-Security-Policy “default-src https: data: ‘unsafe-inline’ ‘unsafe-eval'”
- 5. HTTP Strict-Transport-Security
Header always set Strict-Transport-Security “max-age=31536000; includeSubDomains”
Header set Strict-Transport-Security “max-age=31536000” env=HTTPS
- 6. Referrer-Policy
Header always set Referrer-Policy: strict-origin
- Feature-Policy
Header always set Feature-Policy: vibrate ‘self’ comautaman.vn
Và sau đó hưởng thụ thành quả nào:
