Configuração de Cabeçalhos HTTP de Segurança no WordPress
Os cabeçalhos de segurança HTTP são fundamentais para proteger sites WordPress contra ataques comuns, como cross-site scripting (XSS) e clickjacking. Existem várias maneiras de configurá-los, incluindo a edição do arquivo .htaccess e o uso de plugins.
1. Edição do Arquivo .htaccess
Este método permite definir os cabeçalhos de segurança no nível do servidor, utilizando o software de servidor web Apache.
Passos:
-
Backup do Arquivo
.htaccess: Faça um backup do arquivo antes de realizar qualquer alteração. -
Conexão ao Site: Use um cliente FTP ou o gerenciador de arquivos no painel de controle da hospedagem para acessar o arquivo
.htaccessna pasta raiz do seu site. -
Edição do Arquivo:
- Abra o arquivo
.htaccessem um editor de texto. - Adicione o seguinte código no final do arquivo para configurar os cabeçalhos de segurança mais comuns:
<IfModule mod_headers.c> Header set Strict-Transport-Security "max-age=31536000" env=HTTPS Header set X-XSS-Protection "1; mode=block" Header set X-Content-Type-Options nosniff Header set X-Frame-Options DENY Header set Referrer-Policy: no-referrer-when-downgrade </IfModule> - Abra o arquivo
-
Salve as Alterações: Após adicionar o código, salve o arquivo e verifique se tudo está funcionando corretamente no seu site.
Observação: Cabeçalhos incorretos ou conflitos no arquivo .htaccess podem causar o erro "500 Internal Server Error".
2. Uso de Plugins
Para quem não se sente confortável editando arquivos do servidor ou não tem acesso direto ao .htaccess, o uso de plugins é uma alternativa prática.
Plugins Recomendados:
- HTTP Headers
- Security Headers
- Really Simple SSL Pro
Esses plugins permitem configurar os cabeçalhos de segurança diretamente pela interface do WordPress, sem a necessidade de editar arquivos do servidor.
3. Melhores Práticas
- Teste Gradual: Ao configurar cabeçalhos como o Content Security Policy (CSP), faça testes graduais para evitar quebrar o funcionamento de scripts legítimos.
- Avaliação de Segurança: Use ferramentas como securityheaders.com para avaliar o nível de segurança do seu site.
- Combinação com Outras Práticas: Combine os cabeçalhos de segurança com outras práticas de segurança, como proteger o arquivo
wp-config.php.
Cabeçalhos de Segurança Comuns
| Cabeçalho | Descrição |
|---|---|
| Strict-Transport-Security (HSTS) | Força o uso de HTTPS, garantindo conexões seguras. |
| X-XSS-Protection | Protege contra ataques de cross-site scripting (XSS). |
| X-Content-Type-Options | Impede que os navegadores façam MIME-sniffing, reduzindo o risco de ataques. |
| X-Frame-Options | Impede que seu site seja integrado em iframes, protegendo contra ataques de clickjacking. |
| Content-Security-Policy (CSP) | Restringe quais recursos podem ser carregados em seu site, evitando injeções maliciosas. |
Esses cabeçalhos são essenciais para reforçar a segurança do seu site WordPress, protegendo-o contra ataques comuns e melhorando a experiência do usuário.
