Cách thêm HTTP Security Header vào WordPress (Hướng dẫn cho người mới bắt đầu)

Mục lục

Bạn có muốn thêm tiêu đề bảo mật HTTP vào WordPress không?

Tiêu đề bảo mật HTTP cho phép bạn thêm một lớp bảo mật bổ sung vào website WordPress của mình. Chúng có thể giúp ngăn chặn các hoạt động độc hại phổ biến ảnh hưởng đến hiệu suất của website.

Trong hướng dẫn dành cho người mới bắt đầu này, WPBeginner Việt Nam sẽ chỉ cho bạn cách thêm tiêu đề bảo mật HTTP vào WordPress.

Cách thêm HTTP Security Header vào WordPress (Hướng dẫn cho người mới bắt đầu)

Tiêu đề bảo mật HTTP là biện pháp bảo mật cho phép server của website ngăn chặn một số mối đe dọa bảo mật phổ biến trước khi chúng có thể ảnh hưởng đến website của bạn.

Khi người dùng truy cập website WordPress của bạn, server web của bạn sẽ gửi phản hồi tiêu đề HTTP đến trình duyệt của họ. Phản hồi này cho trình duyệt biết về code lỗi, kiểm soát cache và các trạng thái khác.

Phản hồi tiêu đề bình thường sẽ đưa ra trạng thái được gọi là HTTP 200. Sau đó, website của bạn sẽ tải trong trình duyệt của người dùng. Tuy nhiên, nếu website của bạn gặp sự cố, thì server web của bạn có thể gửi một tiêu đề HTTP khác.

Ví dụ, nó có thể gửi lỗi server nội bộ 500 hoặc code lỗi 404 không tìm thấy.

Tiêu đề bảo mật HTTP là một tập hợp con của các tiêu đề này. Chúng được sử dụng để bảo vệ các website khỏi các mối đe dọa phổ biến như click-jacking, cross-site scripting, tấn công brute force, v.v.

Hãy cùng xem nhanh một số tiêu đề bảo mật HTTP và cách chúng bảo vệ website WordPress của bạn:

  • Bảo mật truyền tải nghiêm ngặt HTTP (HSTS) cho trình duyệt web biết rằng website của bạn sử dụng HTTPS và không nên tải bằng giao thức không an toàn như HTTP.
  • Bảo vệ X-XSS cho phép bạn chặn code lệnh chéo website khỏi quá trình tải.
  • Tùy chọn X-Frame ngăn chặn các khung nội tuyến chéo miền hoặc click-jacking.
  • Tùy chọn loại content X X-Content-Type-Options chặn việc đánh hơi content theo kiểu MIME.

Tiêu đề bảo mật HTTP hoạt động tốt nhất khi được đặt ở cấp server web, nghĩa là tài khoản hosting WordPress của bạn. Điều này cho phép chúng được kích hoạt sớm trong một yêu cầu HTTP thông thường và mang lại lợi ích tối đa.

Chúng hoạt động thậm chí còn tốt hơn nếu bạn sử dụng tường lửa ứng dụng website cấp DNS như Sucuri hoặc Cloudflare.

Sau đây, chúng ta hãy xem cách dễ dàng thêm tiêu đề bảo mật HTTP vào WordPress. Sau đây là các link nhanh đến các phương pháp khác nhau để bạn có thể chuyển đến phương pháp phù hợp với mình:

Sucuri là một trong những plugin bảo mật WordPress tốt nhất trên thị trường. Nếu bạn đang sử dụng dịch vụ tường lửa website của họ, thì bạn có thể thiết lập tiêu đề bảo mật HTTP mà không cần viết bất kỳ code nào.

Đầu tiên, bạn sẽ cần đăng ký tài khoản Sucuri. Đây là dịch vụ trả phí đi kèm với tường lửa website cấp server, plugin bảo mật, CDN và đảm bảo loại bỏ phần mềm độc hại.

Trong quá trình đăng ký, bạn sẽ cần trả lời những câu hỏi đơn giản và tài liệu của Sucuri sẽ giúp bạn thiết lập tường lửa ứng dụng trên website của mình.

Sau khi đăng ký, bạn phải cài đặt và kích hoạt miễn phí Plugin Sucuri. Để biết thêm chi tiết, hãy xem hướng dẫn từng bước của WPBeginner Việt Nam về cách cài đặt plugin WordPress.

Sau khi kích hoạt, bạn cần phải đi đến Sucuri Security » Tường lửa (WAF) và nhập khóa API Tường lửa của bạn. Bạn có thể tìm thông tin này trong tài khoản của mình trên website Sucuri.

Khóa API Sucuri WAF

Sau đó, bạn sẽ cần nhấp vào nút ‘Lưu’ màu xanh lá cây để lưu lại những thay đổi của mình.

Tiếp theo, bạn phải chuyển sang dashboard tài khoản Sucuri của mình. Từ đây, nhấp vào menu ‘Cài đặt’ ở trên cùng và sau đó chuyển sang tab ‘Bảo mật’.

Thiết lập tiêu đề bảo mật HTTP trong Sucuri

Từ đây, bạn có thể chọn ba bộ quy tắc. Bảo vệ mặc định sẽ hoạt động tốt với hầu hết các website.

Nếu bạn có gói Professional hoặc Business, thì bạn cũng có option HSTS và HSTS Full. Bạn có thể xem tiêu đề bảo mật HTTP nào sẽ được áp dụng cho từng bộ quy tắc.

Bạn cần nhấp vào nút ‘Lưu thay đổi trong Tiêu đề bổ sung’ để áp dụng các thay đổi của mình.

Sucuri hiện sẽ thêm các tiêu đề bảo mật HTTP đã chọn của bạn vào WordPress. Vì đây là WAF cấp DNS, nên traffic website của bạn được bảo vệ khỏi tin tặc ngay cả trước khi chúng tiếp cận website của bạn.

Đám mây cung cấp dịch vụ tường lửa website miễn phí cơ bản và dịch vụ CDN. Gói miễn phí không có các tính năng bảo mật nâng cao, vì vậy bạn sẽ cần nâng cấp lên gói Pro, đắt hơn.

Bạn có thể tìm hiểu cách thêm Cloudflare vào website của mình bằng cách làm theo hướng dẫn của WPBeginner Việt Nam về cách thiết lập CDN miễn phí Cloudflare trong WordPress.

Sau khi Cloudflare hoạt động trên website của bạn, bạn phải vào trang SSL/TLS trong dashboard tài khoản Cloudflare, sau đó chuyển sang tab ‘Chứng chỉ Edge’.

Thiết lập tiêu đề bảo mật HTTPS trong Cloudflare

Bây giờ, hãy cuộn xuống phần ‘Bảo mật truyền tải HTTP nghiêm ngặt (HSTS)’.

Khi tìm thấy, bạn cần nhấp vào nút ‘Bật HSTS’.

Nhấp vào nút Bật HSTS

Thao tác này sẽ hiển thị một popup có hướng dẫn cho bạn biết rằng bạn phải bật HTTPS trên website của mình trước khi sử dụng tính năng này.

Nếu blog WordPress của bạn đã có kết nối HTTPS an toàn, thì bạn có thể nhấp vào nút ‘Tiếp theo’ để tiếp tục. Bạn sẽ thấy các option để thêm tiêu đề bảo mật HTTP.

Bật tiêu đề bảo mật HTTPS trong Cloudflare

Từ đây, bạn có thể bật HSTS, áp dụng HSTS cho các miền phụ (nếu miền phụ sử dụng HTTPS), tải trước HSTS và bật tiêu đề không đánh hơi.

Phương pháp này cung cấp khả năng bảo vệ cơ bản bằng cách sử dụng tiêu đề bảo mật HTTP. Tuy nhiên, nó không cho phép bạn thêm X-Frame-Options và Cloudflare không có giao diện người dùng để thực hiện việc đó.

Bạn vẫn có thể làm điều đó bằng cách tạo một tập lệnh sử dụng Nhân viên Cloudflare tính năng. Tuy nhiên, WPBeginner Việt Nam không khuyến khích điều này vì việc tạo tập lệnh tiêu đề bảo mật HTTPS có thể gây ra sự cố không mong muốn cho người mới bắt đầu.

Phương pháp này cho phép bạn thiết lập tiêu đề bảo mật HTTP trong WordPress ở cấp server.

Nó yêu cầu chỉnh sửa file .htaccess trên website của bạn. Tệp cấu hình server này được sử dụng bởi phần mềm server web Apache được sử dụng phổ biến nhất.

Ghi chú: Trước khi thực hiện bất kỳ thay đổi nào đối với các file trên website của bạn, WPBeginner Việt Nam khuyên bạn nên backup.

Tiếp theo, chỉ cần kết nối với website của bạn bằng trình khách FTP hoặc trình quản lý file trong dashboard lưu trữ web của bạn. Trong folder gốc của website, bạn cần tìm file .htaccess và chỉnh sửa file đó.

Xem Chỉnh sửa file .htaccess bằng cách sử dụng FTP Client

Thao tác này sẽ mở file trong trình soạn thảo văn bản thuần túy. Ở cuối file, bạn có thể thêm một số code để thêm tiêu đề bảo mật HTTPS vào website WordPress của mình.

Bạn có thể sử dụng code mẫu sau đây làm điểm khởi đầu. Mã này thiết lập các tiêu đề bảo mật HTTP được sử dụng phổ biến nhất với các thiết lập tối ưu:


Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade

Đừng quên Save Changes và truy cập website của bạn để đảm bảo mọi thứ hoạt động như mong đợi.

Ghi chú: Hãy cẩn thận khi chỉnh sửa code trên website của bạn. Tiêu đề không đúng hoặc xung đột trong file .htaccess có thể gây ra Lỗi server nội bộ 500.

Tất cả trong một SEO (AIOSEO) là công cụ SEO tốt nhất cho WordPress và được hơn 3 triệu doanh nghiệp tin dùng. Plugin cao cấp này cho phép bạn dễ dàng thêm tiêu đề bảo mật HTTP vào website của mình.

Điều đầu tiên bạn cần làm là cài đặt và kích hoạt plugin AIOSEO trên website của bạn. Bạn có thể tìm hiểu thêm trong hướng dẫn từng bước của WPBeginner Việt Nam về cách thiết lập All in One SEO cho WordPress.

Sau đó bạn cần phải đi đến Tất cả trong một SEO » Chuyển hướng trang để thêm tiêu đề bảo mật HTTP. Đầu tiên, bạn sẽ cần nhấp vào nút ‘Kích hoạt chuyển hướng’ để bật tính năng này.

Kích hoạt chuyển hướng trong All in One SEO

Sau khi bật tính năng chuyển hướng, bạn cần nhấp vào tab ‘Chuyển hướng toàn bộ website’ rồi cuộn xuống phần ‘Cài đặt chuẩn’.

Chỉ cần bật nút chuyển đổi ‘Cài đặt Canonical’ rồi nhấp vào nút ‘Thêm cài đặt bảo mật’.

Thêm cài đặt bảo mật trong AIOSEO

Bạn sẽ thấy danh sách các tiêu đề bảo mật HTTP được thiết lập sẵn xuất hiện trong bảng.

Các tiêu đề này được tối ưu hóa cho bảo mật website. Bạn có thể xem lại và thay đổi chúng nếu cần.

Tiêu đề bảo mật được thêm vào AIOSEO

Hãy nhớ nhấp vào nút ‘Lưu thay đổi’ ở đầu hoặc cuối màn hình để lưu tiêu đề bảo mật.

Bây giờ bạn có thể truy cập website của mình để đảm bảo mọi thứ đều hoạt động tốt.

Bây giờ bạn đã thêm tiêu đề Bảo mật HTTP vào website của mình, bạn có thể kiểm tra cấu hình của mình bằng cách sử dụng miễn phí Tiêu đề bảo mật dụng cụ.

Chỉ cần nhập URL website của bạn và nhấp vào nút ‘Quét’.

Kiểm tra Tiêu đề bảo mật HTTP của Trang web

Sau đó, nó sẽ kiểm tra tiêu đề bảo mật HTTP cho website của bạn và hiển thị cho bạn một báo cáo. Công cụ này cũng sẽ tạo ra cái gọi là nhãn điểm, mà bạn có thể bỏ qua vì hầu hết các website sẽ nhận được điểm B hoặc C mà không ảnh hưởng đến trải nghiệm của người dùng.

Nó sẽ cho bạn biết những tiêu đề bảo mật HTTP nào được gửi bởi website của bạn và những tiêu đề nào không được bao gồm. Nếu những tiêu đề bảo mật mà bạn muốn thiết lập được liệt kê ở đó, thì bạn đã hoàn tất.

Hướng dẫn của chuyên gia về bảo mật WordPress

Bây giờ bạn đã biết cách thêm tiêu đề bảo mật HTTP, bạn có thể muốn xem một số hướng dẫn khác liên quan đến việc cải thiện bảo mật cho website WordPress của mình:

Chúng tôi hy vọng bài viết này giúp bạn biết cách thêm tiêu đề bảo mật HTTP vào WordPress. Bạn cũng có thể muốn xem hướng dẫn bảo mật WordPress đầy đủ của WPBeginner Việt Nam và các lựa chọn chuyên gia của WPBeginner Việt Nam về các plugin WordPress tốt nhất cho các website kinh doanh.

Nếu bạn thích bài viết này, vui lòng đăng ký theo dõi WPBeginner Việt Nam Kênh Youtube cho các video hướng dẫn về WordPress. Bạn cũng có thể tìm thấy WPBeginner Việt Nam trên TwitterFacebook.

5/5 - (182 bình chọn)
Facebook
Twitter
LinkedIn
Telegram
Email
Đội Ngũ Biên Tập
WordPress

Đánh giá Sucuri – Sucuri đã giúp WPBeginner Việt Nam chặn 450.000 cuộc tấn công WordPress trong 3 tháng như thế nào

Bất cứ khi nào WPBeginner Việt Nam được hỏi về các mẹo bảo mật WordPress, hai trong số các recommend hàng đầu của WPBeginner Việt Nam là có được giải pháp backup WordPress tốt và bắt đầu sử dụng tường lửa website Sucuri. Tại WPBeginner, WPBeginner Việt Nam đã thử

Đọc tiếp »
WordPress

Cách quản lý tốt hơn các cập nhật WordPress tự động

Chúng tôi quản lý nhiều website WordPress và hiểu rằng việc cập nhật chúng là điều cần thiết để đảm bảo tính bảo mật, hiệu suất và tính ổn định của chúng. Nhưng việc quản lý các bản cập nhật đó theo cách thủ công có thể tốn thời gian

Đọc tiếp »