Security Headers

TLS становится все сложнее. Индикация имени сервера (SNI) теперь означает, что сайты HTTPS могут быть на общих IP-адресах или иным образом ограничены. Для этих серверов удобно иметь возможность устанавливать желаемые заголовки HTTP без доступа к конфигурации веб-серверов или использования файла .htaccess. Этот плагин предоставляет элементы управления для: HSTS (Strict-Transport-Security) HPKP (Public-Key-Pins) Отключение сниффинга контента (X-Content-Type-Options) XSS-защиты (X-XSS-Protection) Снижения кликджекинга (X- Frame-Options на основном сайте) Expect-CT HSTS используется для обеспечения того, чтобы будущие подключения к веб-сайту всегда использовали TLS, и запрета обхода предупреждений о сертификатах для сайта. HPKP используется, если вы не хотите полагаться исключительно на модель доверия центра сертификации при выдаче сертификатов. Отключение сниффинга контента в основном представляет интерес для сайтов, которые позволяют пользователям загружать файлы определенных типов, но эти браузеры могут быть достаточно глупыми, чтобы интерпретировать какой-либо другой тип, что допускает неожиданные атаки. Защита XSS повторно включает защиту XSS для сайта, если пользователь отключил ее ранее, и устанавливает параметр «блокировать», чтобы атаки не игнорировались молча. Защита от кликджекинга обычно актуальна только тогда, когда кто-то вошел в систему, но пользователи запросили это, предположительно, у них есть богатый контент вне аутентификации WordPress, которую они хотят защитить. Expect-CT используется для обеспечения правильной настройки прозрачности сертификата.

Автор: Simon Waters

Версия: 1.1

Последнее обновление: 2019-02-26 4:39pm GMT