如何添加安全标头 + 更多新的 Defender 功能
后卫在第 2.2.2 回合重返赛场.他还推出了三项全新的安全功能——所有这些功能都是专门为打击懦弱的黑客和机器人而设计的.
您网站的安全危在旦夕,所以我们不要拖延.
Defender 2.2.2 最近推出了一套全新的淘汰安全功能.
在这篇文章中,我们将重点放在三个杰出的人物上:
- HTTP 安全标头
- 防止用户枚举
- 阻止 WordPress Rest API
我还将向您展示使用这些新武器立即武装您的网站是多么容易.
因为事实是,如果您不不断更新网站的安全性,您就是在玩火.
黑客和犯罪分子每天都在寻找新方法来利用最"安全"的网站.
如果您不了解最新的网站安全措施,您的网站就会容易受到攻击.
这就是这位大型摔跤手介入的地方......
新一轮?
认识 Defender,我们首屈一指的安全插件和您个人的 [互联网] 打击犯罪机器(他并不像看起来那么可怕,除非您是邪恶的黑客).
黑客……暴力攻击……恶意机器人……
它们都无法与 Defender 强大的 WordPress 安全防护和隐藏技术相提并论.
使用此插件标记团队可即时访问:用户安全扫描、漏洞报告、双因素身份验证、安全建议等等!
重点是……
防御者有最可怕的网络恶棍蠕动
在它的最新更新中,这个强大的插件为其重量级的安全带增加了更多的缺口.
最好的部分?
执行其中大部分内容只需单击一下按钮即可.
但在我们继续之前,PSA:
本文中涵盖的所有功能仅适用于 Defender Pro(而不是 Defender 的免费版本).
拥有 WPMU DEV 会员资格,您可以完全访问此插件以及我们所有其他屡获殊荣的高级 WordPress 插件.还有一个免费试用(100% 无风险)——欢迎您在购买前试用.
但正如我之前所说的,您网站的安全取决于这一点-以及 barnstorming 功能!
攻击黑客:HTTP 安全标头
就像关系一样,沟通是更安全、更安全的网站的关键之一.
有效的通信是 HTTP 安全标头最擅长的.
简单来说,这些头撞标题会与网络浏览器对话,并告诉他们在与您的网站互动期间如何操作.帮助提高安全性并防止恶意攻击.
HTTP 安全标头有各种形状和大小(我将在下面逐一介绍)——所有这些都可以保护您免受不同类型的攻击.
它们也非常容易添加到您的网站上.与大多数 Defender 功能一样-它们实际上只需点击一下即可立即武器化.
*此安全功能最初是由我们的 WPMU DEV 社区成员 Gary 请求的.再次感谢您的意见 Gary!
如何激活 Defender 的 HTTP 安全标头
在 Defender 仪表板中,找到"安全调整"部分(您不能错过!).您将看到 Defender 为您的网站推荐的安全调整的预览列表.
点击其中一个,或点击"查看全部".
或者,您可以直接通过侧边菜单导航到安全调整:
进入"安全调整"页面后,您会看到 Defender 指出您网站当前存在的安全问题.
由于安全标头是一项新功能,它们会自动出现在此列表中.
要激活安全标头,请先点击一个.
点击后,您将获得有关每个标题的更多信息.
以下是您点击 "X-Content-Type-Options" 标题时看到的示例:
就像我之前说的,只需点击一下即可.
点击"强制"按钮,KAPOW!您刚刚将安全性提高了一个级别.
启用任何标题后,它会自动移至"安全调整"的"已解决"部分.
如果需要,您也可以在此处禁用安全标头.
好的,既然您知道如何强制实施安全标头,让我们深入了解标头本身及其作用.
认识 Defender 的新安全"负责人":
1.X-Content-Type-Options 标题
X-Content-Type-Options 标头非常强大,可以保护您免受讨厌的 MIME 嗅探和 XSS 攻击.
例如,当网站允许用户上传内容时,*PLOT TWIST,用户将特定文件类型伪装成其他类型.偷偷摸摸!
这给了他们一个危险的机会来执行跨站点脚本并破坏您的网站.如果您的网站允许用户上传内容,您肯定会想要激活这只小狗.
2.功能策略标题
Feature-Policy 响应标头有助于控制将网页嵌入到 iframes(嵌入在网站上其他 HTML 文档中的 HTML 文档).
这方面的示例包括:在您不希望嵌入的网站访问访问者的相机的情况下嵌入 iframe,或者当未优化的图像从 CMS 输出到您的网站时.
当您的网页嵌入其他地方时,此安全标头还为您提供了更多选项以防止不需要的操作:
3.推荐人政策标题
Referrer-Policy HTTP 标头告诉网络浏览器在用户单击指向另一个页面的链接时如何处理引用信息.
Referrer 标头让网站所有者知道入站访问者来自哪里,但有时您可能希望控制或限制显示的信息量.
您还可以选择随请求一起发送的引荐来源信息:
4.严格传输安全标头
HTTP Strict-Transport-Security 标头 (HSTS) 可让您的网站告诉浏览器它们只能通过 HTTPS(而不是 HTTP)访问.
这对于存储和处理敏感信息的网站(例如电子商务商店)尤其重要,它有助于防止"协议降级"和"点击劫持"攻击.
您还可以设置传输安全标头要求(见下文).这将转换所有非 HTTPS 链接并阻止进入您网站的不安全连接.
5.X-Frame-Options 标题
X-Frame-Options HTTP 标头控制浏览器是否可以在 <frame>、<iframe> 或 <object> 中呈现网页.标签.
这可以确保您的内容不会嵌入到其他网站中,从而有助于避免点击劫持攻击.
6.X-XSS-保护头
当 X-XSS-Protection 标头检测到对 Chrome、Safari 等的反射跨站脚本 (XSS) 攻击时,它会阻止页面加载.
在大多数情况下,您在现代浏览器中不需要这些标头,因为大多数网站都有强大的"内容安全策略"来禁用内联 JavaScript.
但是这个标头仍然保护不支持 CSP 的旧版网络浏览器的用户.
当检测到 XSS 攻击时,您可以选择要应用的 X-XSS 保护级别.无论是清理页面(删除不安全的部分),还是完全阻止攻击.
我们还没有完成……
以下是 Defender 正在完善的另外两个致命安全措施:
1.使用"Block WordPress Rest API"让机器人措手不及
WordPress Rest API 允许您的网站与内部和外部服务和应用程序进行通信.
这允许开发人员在 WordPress 之上创建单页应用程序.它还开启了整个世界的机会(尤其是与古腾堡合作).
但是,如果您不使用任何需要公开访问 API 的外部服务,它可能是机器人和黑客的另一个访问点.
此安全调整允许您只允许授权请求.如果您不需要第三方应用和软件的 API 访问权限,则推荐使用.
或者,如果您有需要 API 访问权限的外部服务,您可以忽略此安全调整.
这个调整还带有一个轻微的警告(dun dun duuun…).
它可能会阻止您的网站正常运行-因此只有在您知道自己在做什么时才激活此调整.
与安全标头一样,Block WordPress Rest API 功能可以在"Security Tweaks"中找到并一键强制执行:
2.防止用户枚举和"KO"暴力登录尝试
机器人和黑客访问您网站的常用方法是找出登录用户名并使用一堆虚拟密码对登录区域进行暴力破解.
这种黑客方法有两个方面.密码是随机猜测的,更难获得.另一方面,您可以通过将"?author=1"重定向到"/author/username/"来轻松访问您的用户名.
此安全调整通过阻止重定向来锁定您的网站,使机器人更难获取您的用户名.
您会在"安全调整"中找到阻止用户枚举,点击即可激活:
*感谢 WPMU DEV 社区成员 Richard 和 Michael 请求此功能.
有时进攻是最好的[安全]防御
外面是一个可怕的互联网世界,每天黑客和其他卑鄙的网络恶棍都在寻找新的方法来对付无辜的人网站.
因此,确保您的网站配备了最新的安全功能非常重要.
多亏了 Defender Pro 新引入的安全标头,以及阻止 WordPress Rest API 和用户枚举的能力-您的网站比以往任何时候都更安全.
如果您已经安装了 Defender Pro 并且您还没有更新……那就傻了吧!您网站的安全取决于它.
现在是防守的时候了
同样,如果您是新来的,并且想使用此插件增强网站的安全性……最好的起点是注册一个 免费版试用 WPMU DEV.
这样您就可以先试用强大的 Defender(以及我们所有其他高级插件)进行试驾.如果您在试用期内不满意,请取消您的订阅,我们下次会尽力为您做得更好.没有伤害.
(还有 免费版 Defender 如果您是还没有准备好接受这种承诺).
特别感谢让 Defender 2.2.2 成为可能的出色团队(本身就是超级英雄):
首席开发人员:Hoàng Ngô、QA: Devendera Mishrades 和首席设计师:Andy Crone.
此外,请务必查看我们的产品路线图,了解 Defender 在未来更新中的前景.
标签:
