อธิบายนโยบายความปลอดภัยของเนื้อหา (CSP)

ด้วยวิวัฒนาการอย่างรวดเร็วของภัยคุกคามความปลอดภัยทางไซเบอร์ การป้องกันเพียงชั้นเดียวจึงไม่เพียงพอต่อการปกป้องสถานะออนไลน์ของคุณอีกต่อไป สิ่งนี้ทำให้เจ้าของเว็บไซต์จำเป็นต้องมีวิธีการรักษาความปลอดภัยแบบหลายชั้น ซึ่งแนวคิดการป้องกันเชิงลึกจะนำเสนอได้ดีที่สุด

ในเว็บไซต์และเว็บแอปพลิเคชัน การป้องกันเชิงลึกสามารถทำได้โดยใช้ส่วนหัวการตอบสนองด้านความปลอดภัย HTTP ซึ่งออกแบบมาโดยเฉพาะเพื่อบังคับใช้การควบคุมความปลอดภัยเพิ่มเติมในฝั่งไคลเอ็นต์ ส่วนหัวการตอบสนอง HTTP เป็นด่านที่สองที่สำคัญในการป้องกันการโจมตีทางไซเบอร์ที่กำหนดเป้าหมายเว็บแอปพลิเคชัน

ในฐานะที่เป็นหนึ่งในส่วนหัวการตอบสนองด้านความปลอดภัย HTTP ที่สำคัญ นโยบายความปลอดภัยของเนื้อหา (CSP) สามารถปกป้องเว็บไซต์ของคุณและผู้เยี่ยมชมได้อย่างมีประสิทธิภาพจากผลกระทบร้ายแรงของการโจมตีแบบสคริปต์ข้ามไซต์ (XSS) และการฉีดข้อมูล

ในคู่มือนี้ คุณจะได้เรียนรู้ว่าเหตุใดนโยบายความปลอดภัยของเนื้อหาจึงเป็นส่วนหัวความปลอดภัย HTTP ที่สำคัญ และวิธีใช้การป้องกันเชิงลึกบนไซต์ของคุณเพื่อลดการโจมตีทางไซเบอร์ที่ซับซ้อนที่กำหนดเป้าหมาย WordPress ได้สำเร็จ

HTTP Response Headers คืออะไร

ส่วนหัวการตอบสนอง HTTP เป็นชุดของการควบคุมที่ใช้งานในเว็บไซต์และเว็บแอปพลิเคชันที่กำหนดวิธีที่เบราว์เซอร์โต้ตอบกับเนื้อหาที่ร้องขอ การนำส่วนหัวการตอบสนอง HTTP ไปใช้สามารถช่วยเจ้าของเว็บไซต์ปรับปรุงประสบการณ์ผู้ใช้ได้อย่างมาก ตลอดจนปรับปรุงฟังก์ชันการทำงาน ประสิทธิภาพ และความปลอดภัยของเว็บไซต์ของตน

เนื่องจากข้อมูลเล็กๆ น้อยๆ ถูกส่งไปพร้อมกับเนื้อหาที่ผู้เยี่ยมชมเว็บไซต์ร้องขอ ส่วนหัวการตอบสนอง HTTP จะปรับเปลี่ยนวิธีที่เบราว์เซอร์ตีความและประมวลผลการตอบสนองที่ได้รับจากเว็บเซิร์ฟเวอร์ และในขณะที่เนื้อหาและการทำงานของเว็บไซต์ยังคงไม่เปลี่ยนแปลง การใช้ส่วนหัวการตอบสนอง HTTP สามารถเปลี่ยนแปลงวิธีที่ผู้ใช้รับรู้ได้

HTTP Security Response Headers เป็นชั้นที่สองของการป้องกันภัยคุกคามด้านความปลอดภัย

หนึ่งในหัวข้อหลักที่ส่วนหัวการตอบสนอง HTTP เช่น นโยบายความปลอดภัยของเนื้อหา ถูกนำมาใช้ในการรักษาความปลอดภัยเว็บไซต์ ส่วนหัวการตอบกลับ HTTP ของฟังก์ชันการทำงานอันทรงพลังทำให้พวกเขาเป็นแนวป้องกันที่สองที่สำคัญจากการโจมตีทางไซเบอร์จำนวนมากที่กำหนดเป้าหมายเว็บแอปพลิเคชันแบบไดนามิกเช่น WordPress

ด่านแรกของการป้องกันการโจมตีทางไซเบอร์ประกอบด้วยมาตรการรักษาความปลอดภัยแบบใช้โค้ดและฝั่งเซิร์ฟเวอร์จำนวนหนึ่ง ซึ่งช่วยลดพื้นผิวการโจมตีและกำจัดช่องโหว่ระดับแอปพลิเคชัน ซึ่งรวมถึงการใช้แนวปฏิบัติในการเข้ารหัสที่ปลอดภัย การกำหนดนโยบายการควบคุมการเข้าถึงที่รัดกุม และการใช้ไฟร์วอลล์ของเว็บแอปพลิเคชันเพื่อตรวจสอบคำขอที่เข้ามาและกรองทราฟฟิกที่เป็นอันตรายออก

และแม้ว่าการมีแนวป้องกันด่านแรกที่แข็งแกร่งจะจำเป็นอย่างยิ่ง แต่การพึ่งพาการรักษาความปลอดภัยเพียงชั้นเดียวยังคงทำให้เว็บไซต์ของคุณเสี่ยงต่อการถูกโจมตีที่ซับซ้อนมากขึ้น การควบคุมความปลอดภัยเดียวสามารถหลีกเลี่ยงได้อย่างง่ายดาย โดยเฉพาะอย่างยิ่งหากผู้โจมตีสามารถระบุและใช้ประโยชน์จากช่องโหว่ที่ไม่ได้แก้ไข

นโยบายความปลอดภัยของเนื้อหาและส่วนหัวการตอบสนองด้านความปลอดภัยอื่นๆ ให้การป้องกันเพิ่มเติมอีกชั้นหนึ่งโดยการลดอันตรายจากการโจมตีที่เป็นอันตราย หากแฮ็กเกอร์ที่ประสงค์ร้ายสามารถระบุช่องโหว่บนเว็บไซต์ของคุณได้สำเร็จ แนวป้องกันที่สองที่แข็งแกร่งจะทำให้ผู้โจมตีใช้ประโยชน์จากช่องโหว่นั้นได้ยากขึ้นมาก

นโยบายความปลอดภัยของเนื้อหาคืออะไร?

นโยบายความปลอดภัยของเนื้อหา (CSP) เป็นกลไกการรักษาความปลอดภัยที่ใช้เพื่อกำหนดรายการแหล่งที่มาที่เชื่อถือได้สำหรับเนื้อหาที่เว็บไซต์หรือหน้าเว็บเฉพาะได้รับอนุญาตให้โหลด รวมถึงโปรโตคอลที่จะใช้สำหรับสิ่งนั้น ซึ่งอาจรวมถึงสคริปต์ สไตล์ชีต รูปภาพ และเนื้อหาประเภทอื่นๆ ที่สามารถฝังลงในหน้าเว็บได้

นโยบายความปลอดภัยของเนื้อหาคือการป้องกันที่มีประสิทธิภาพในการควบคุมความปลอดภัยเชิงลึก ซึ่งช่วยบล็อกคำขอเนื้อหาที่อยู่นอกเว็บไซต์ปัจจุบันโดยไม่ได้รับอนุญาต นอกจากนี้ CSP ยังป้องกันการเรียกใช้สคริปต์แบบอินไลน์และจำกัดการเรียกใช้โค้ดไดนามิกที่ไม่ปลอดภัยได้สำเร็จ

ในฐานะที่เป็นส่วนหัวการตอบสนองความปลอดภัย HTTP, CSP จะส่งคำแนะนำที่กำหนดค่าโดยเจ้าของเว็บไซต์ไปยังเบราว์เซอร์ของผู้เยี่ยมชม จากนั้น เบราว์เซอร์จะต้องปฏิบัติตามคำแนะนำและบล็อกการส่งเนื้อหาที่ไม่ได้รับอนุญาตตามกฎนโยบายความปลอดภัยของเนื้อหา ด้วยวิธีนี้ เบราว์เซอร์จะเห็นว่าเนื้อหาบางอย่างถูกอ้างอิงโดยหน้าเว็บ แต่จะปฏิเสธที่จะโหลด

เหตุใดนโยบายความปลอดภัยของเนื้อหาจึงมีความสำคัญ

เป็นแนวป้องกันที่สอง นโยบายความปลอดภัยของเนื้อหาไม่ได้ป้องกันผู้โจมตีจากการประนีประนอมเว็บไซต์ในกรณีส่วนใหญ่ ถึงกระนั้นก็จะช่วยลดผลกระทบร้ายแรงของการติดมัลแวร์ บล็อกความพยายามของแฮ็กเกอร์ที่จะใช้ประโยชน์จากมัน

แม้ว่ามัลแวร์จะถูกแทรกเข้าไปในเว็บไซต์ของคุณโดยมีวัตถุประสงค์เพื่อขโมยข้อมูลที่ละเอียดอ่อนหรือทำกิจกรรมที่เป็นอันตรายอื่นๆ นโยบาย CSP ที่เข้มงวดจะช่วยให้คุณและลูกค้าของคุณปลอดภัย ผู้ประสงค์ร้ายจะไม่สามารถใช้ประโยชน์จากความไว้วางใจของลูกค้าที่มีต่อเว็บไซต์ของคุณ เนื่องจากเบราว์เซอร์จะบล็อกโค้ดที่เป็นอันตรายไม่ให้ถูกดำเนินการตั้งแต่แรก

ความสามารถในการลบล้างความพยายามของแฮ็กเกอร์ในการใช้ประโยชน์จากเว็บไซต์ของคุณในขณะที่คุณควบคุมเว็บไซต์ได้อย่างเต็มที่และทำการล้างข้อมูลมัลแวร์หลังจากที่ถูกบุกรุกคือสิ่งที่ทำให้การใช้นโยบายความปลอดภัยของเนื้อหาเป็นเครื่องมือที่มีประสิทธิภาพในการรักษาความปลอดภัยเว็บไซต์และเว็บแอปพลิเคชันสมัยใหม่

CSP ป้องกันจากอะไร?

นโยบายความปลอดภัยของเนื้อหาปกป้องเว็บไซต์และผู้เยี่ยมชมจากการโจมตีทางไซเบอร์ที่อำนวยความสะดวกโดยการติดมัลแวร์ เช่นเดียวกับความพยายามในการบุกรุกโดยอาศัยสคริปต์ที่เป็นอันตรายซึ่งโฮสต์บนทรัพยากรที่ควบคุมโดยผู้โจมตี ซึ่งรวมถึงการเขียนสคริปต์ข้ามไซต์ (XSS) การโจมตีด้วยการรวมไฟล์ และการคลิกแจ็ก เป็นเวกเตอร์การโจมตีสามอันดับแรกที่ลดทอนโดยนโยบายความปลอดภัยของเนื้อหา

การเขียนสคริปต์ข้ามไซต์ (XSS)

Cross-site scripting (XSS) คือการโจมตีด้วยการแทรกโค้ดที่เป็นอันตรายลงในหน้าเว็บ โค้ดจะถูกดำเนินการโดยเบราว์เซอร์เมื่อโหลดหน้าเว็บ ทำให้ผู้โจมตีสามารถขโมยข้อมูลที่ละเอียดอ่อน จี้เซสชันของผู้ใช้ หรือแจกจ่ายมัลแวร์ได้

ในการดำเนินการโจมตีด้วยสคริปต์ข้ามไซต์ แฮ็กเกอร์สามารถแทรกมัลแวร์เป็นสคริปต์แบบอินไลน์ ซึ่งฝังอยู่ใน HTML หรือโดยการอ้างอิงสคริปต์ภายนอก ซึ่งโดยปกติแล้วจะโฮสต์บนเว็บไซต์ที่ควบคุมโดยผู้โจมตี ในระหว่างขั้นตอนการแสดงเนื้อหา รหัสที่เป็นอันตรายจะถูกโหลดลงในเบราว์เซอร์ของผู้ใช้และดำเนินการโดยที่พวกเขาไม่ทราบหรือไม่ยินยอม

ตัวอย่างที่ดีอย่างหนึ่งของการโจมตีด้วยสคริปต์ข้ามไซต์ที่ส่งผลกระทบต่อเจ้าของเว็บไซต์ WordPress คือการฉีดมัลแวร์อ่านบัตรเข้าไปในขั้นตอนการชำระเงินของ WooCommerce ซึ่งจะขโมยข้อมูลการชำระเงินของผู้ซื้อ สกิมเมอร์ของการ์ดและตัวดักจับ JavaScript ประเภทอื่นๆ ที่ใช้ในการโจมตีด้วยสคริปต์ข้ามไซต์ โดยทั่วไปแล้วจะมีลักษณะเช่นนี้ในซอร์สโค้ดของหน้าเว็บ:

 <script type="text/javascript" src="https://hackerswebsite/evil.js"></script>

ในกรณีของสคริปต์แบบอินไลน์ คุณจะเห็นโค้ดที่เป็นอันตรายฝังอยู่ในแท็กสคริปต์ หรือแม้แต่ปลอมตัวเป็นสไตล์ชีตโดยใช้แท็กสไตล์

การลดการเขียนสคริปต์ข้ามไซต์เป็นเป้าหมายหลักของการนำนโยบายความปลอดภัยของเนื้อหาไปใช้ ด้วยการป้องกันการเรียกใช้สคริปต์แบบอินไลน์ จาวาสคริปต์ที่ไม่ปลอดภัยแทรกเข้ามาโดยใช้ฟังก์ชัน eval และการบล็อกสคริปต์ที่โหลดจากแหล่งที่ไม่น่าเชื่อถือ นโยบายความปลอดภัยของเนื้อหา (CSP) จึงช่วยลดความเสี่ยงของการใช้รหัสโดยอำเภอใจบนเว็บไซต์ได้อย่างมีประสิทธิภาพ

การโจมตีการรวมไฟล์

การโจมตีแบบรวมไฟล์เป็นการโจมตีประเภทอื่นที่นโยบายความปลอดภัยของเนื้อหาสามารถบรรเทาได้ ในฐานะที่เป็นเทคนิคการบุกรุก การโจมตีด้วยการรวมไฟล์จากระยะไกลทำให้แฮ็กเกอร์ใช้ประโยชน์จากการตรวจสอบอินพุตที่ไม่ดีในพื้นที่ต่างๆ ของเว็บไซต์เพื่อเรียกใช้รหัสที่เป็นอันตรายซึ่งโฮสต์อยู่บนทรัพยากรภายนอก

การโจมตีด้วยการรวมไฟล์จากระยะไกลมักจะใช้ประโยชน์จากช่องโหว่ที่ไม่ได้แพตช์ในปลั๊กอินและธีมของ WordPress โดยมีจุดประสงค์เพื่อเจาะเข้าไปในเว็บไซต์โดยการติดตั้งเว็บเชลล์แบ็คดอร์ เช่นเดียวกับการลดการเขียนสคริปต์ข้ามไซต์ นโยบายความปลอดภัยของเนื้อหาจะบล็อกสคริปต์ภายนอกที่น่าสงสัยทั้งหมดไม่ให้ถูกแทรกเข้าไปในเว็บไซต์ ทำให้ผู้โจมตีแทบจะเป็นไปไม่ได้เลยที่จะใช้ประโยชน์จากช่องโหว่ Remote File Inclusion (RFI)

การคลิกแจ็ค

นอกเหนือจากการอนุญาตให้เจ้าของเว็บไซต์กำหนดรายการทรัพยากรที่เชื่อถือได้เพื่อโหลดเนื้อหา นโยบายความปลอดภัยของเนื้อหายังช่วยจำกัดรายชื่อเว็บไซต์ที่ได้รับอนุญาตให้ฝังเนื้อหาจากเว็บไซต์ภายในเฟรม การดำเนินการนี้ช่วยลดการโจมตีแก้ไขอินเทอร์เฟซผู้ใช้ (UI) เช่น การคลิกแจ็ก ซึ่งลูกค้าของคุณสามารถตกเป็นเหยื่อได้โดยการเปิดลิงก์ที่น่าสงสัยซึ่งส่งถึงพวกเขาในการโจมตีแบบสเปียร์ฟิชชิ่ง

คำสั่ง frame-ancestors ของนโยบายความปลอดภัยเนื้อหาได้แทนที่ส่วนหัว X-Frame-Options เรียบร้อยแล้ว ซึ่งขณะนี้เบราว์เซอร์สมัยใหม่ส่วนใหญ่เลิกใช้แล้ว คำสั่ง CSP นี้และอื่นๆ มีความสำคัญอย่างยิ่งในการรักษาความปลอดภัยของ WordPress

คำสั่งนโยบายความปลอดภัยของเนื้อหา

นโยบายความปลอดภัยของเนื้อหาช่วยให้คุณระบุชุดของกฎที่เรียกว่าคำสั่ง เพื่อควบคุมแหล่งที่มาของเนื้อหาที่เว็บไซต์ของคุณสามารถโหลดได้ คำสั่งนโยบายความปลอดภัยของเนื้อหาคือรายการคำแนะนำที่รวมอยู่ในส่วนหัว HTTP ของหน้าเว็บที่ร้องขอซึ่งกำหนดประเภทของเนื้อหาที่เบราว์เซอร์ได้รับอนุญาตให้โหลดบนหน้านั้น พร้อมด้วยรายการแหล่งที่มาที่เชื่อถือได้ซึ่งสามารถโหลดได้

ในบรรดาคำสั่งต่างๆ ของนโยบายความปลอดภัยของเนื้อหาที่มีอยู่ กฎด้านล่างเป็นกฎที่ใช้บ่อยที่สุดกับเว็บไซต์ที่ปลอดภัยจากการเขียนสคริปต์ข้ามไซต์ (XSS) การคลิกแจ็ก และการโจมตีด้วยการแทรกข้อมูล คำสั่ง CSP ต่อไปนี้ทั้งหมด ยกเว้น frame-ancestors , form-action และ upgrade-insecure-requests เป็นคำสั่งดึงข้อมูลที่ระบุรายการทรัพยากรที่จะโหลดเนื้อหา Frame-ancestors และ form-action เป็นคำสั่งการนำทางที่กำหนดวิธีที่ทรัพยากรอื่นสามารถใช้เนื้อหาของเว็บไซต์ได้ กำหนดค่านโยบายความปลอดภัยของเนื้อหา

• default-src กำหนดนโยบายสำหรับการโหลดทรัพยากรทุกประเภทที่เบราว์เซอร์จะเป็นค่าเริ่มต้นหากไม่มีการระบุกฎเพิ่มเติมสำหรับเนื้อหาบางประเภท
• script-src ระบุแหล่งที่มาที่เชื่อถือได้ของไฟล์ JavaScript ที่สามารถโหลดได้จากเว็บไซต์
• style-src กำหนดรายการแหล่งที่มาของสไตล์ชีต (CSS) ที่ถูกต้อง
• img-src อนุญาตรายการทรัพยากรที่สามารถโหลดอิมเมจได้
• media-src ระบุแหล่งที่มาที่เชื่อถือได้ของไฟล์เสียงและวิดีโอที่ฝังอยู่ในองค์ประกอบ HTML <audio> และ <video>
• connect-src ให้การควบคุมการเชื่อมต่อ XMLHttpRequest , EventSource และ WebSocket
• child-src กำหนดแหล่งที่มาของเนื้อหาที่สามารถรวมไว้ในหน้าเว็บผ่านเฟรม
• frame-ancestors เป็นคำสั่งการนำทางที่ช่วยลดการโจมตี clickjacking โดยการระบุรายการทรัพยากรที่ได้รับอนุญาตให้ฝังเนื้อหาของเว็บไซต์ภายในเฟรม
• form-action จะจำกัดทรัพยากรที่เว็บฟอร์มสามารถส่งข้อมูลได้ ป้องกันการกรองข้อมูลไปยังทรัพยากรภายนอกที่ควบคุมโดยผู้โจมตี
• upgrade-insecure-requests สั่งให้เบราว์เซอร์อัปเกรดคำขอที่ไม่ปลอดภัยทั้งหมดเป็น HTTPS เพื่อให้แน่ใจว่ามีการเชื่อมต่อที่ปลอดภัย

เจ้าของเว็บไซต์อาจต้องกำหนดค่าคำสั่งหลายคำสั่งเพื่อควบคุมแหล่งที่มาของเนื้อหาทั้งหมดที่ดึงมาจากภายนอก ทั้งนี้ขึ้นอยู่กับประเภทของเว็บไซต์และฟังก์ชันการทำงานเฉพาะที่มีให้

มาตรฐานอุตสาหกรรมเพื่อให้มั่นใจถึงการป้องกันที่เพียงพอจากการโจมตีแบบข้ามสคริปต์และการฉีดโดยใช้นโยบายความปลอดภัยของเนื้อหาเป็นแนวป้องกันที่สองคือการจำกัดแหล่งที่มาที่ถูกต้องของเนื้อหาภายนอกให้อยู่ในเว็บไซต์ปัจจุบันผ่านคำสั่ง default-src เท่านั้น จากนั้นสามารถใช้คำสั่งที่ตรงเป้าหมายมากขึ้นในการอนุญาตทรัพยากรสำหรับเนื้อหาบางประเภท แต่การปฏิเสธทรัพยากรอื่นๆ ทั้งหมดเป็นแนวทางที่แนะนำ

การกำหนดค่าคำสั่งนโยบายความปลอดภัยของเนื้อหา

คำสั่งนโยบายความปลอดภัยของเนื้อหาแต่ละข้อยอมรับรายการค่าที่แสดงโดย Uniform Resource Locator (URL) ซึ่งควรรวมที่อยู่เว็บที่ถูกต้องนำหน้าด้วยโปรโตคอล ชื่อโดเมน สัญลักษณ์แทน หรือค่าเฉพาะ เช่น 'self' หรือ 'none' จัดทำโดยส่วนหัวการตอบสนอง HTTP

ต่อไปนี้เป็นตัวอย่างของค่าที่สามารถกำหนดให้กับคำสั่งนโยบายความปลอดภัยของเนื้อหาได้:

ตามค่าเริ่มต้น โดยไม่คำนึงถึงกฎที่ระบุ นโยบายความปลอดภัยของเนื้อหาจะบล็อกการเรียกใช้สคริปต์แบบอินไลน์และป้องกันไม่ให้หน้าเว็บเรียกใช้ฟังก์ชันแปลงข้อความเป็น JavaScript เช่น eval ซึ่งแฮ็กเกอร์ที่เป็นอันตรายใช้กันทั่วไป การเพิ่มค่า 'unsafe-inline' และ 'unsafe-eval' ให้กับคำสั่งนโยบายความปลอดภัยของเนื้อหา script-src สามารถช่วยให้เจ้าของเว็บไซต์หลีกเลี่ยงข้อจำกัดได้ แต่นั่นอาจทำให้เว็บไซต์มีความเสี่ยงด้านความปลอดภัยที่สำคัญและบ่อนทำลายการป้องกันที่กำหนดโดยคำสั่งอื่น ๆ .

การกำหนดค่าส่วนหัวของนโยบายความปลอดภัยของเนื้อหาต่อไปนี้ช่วยป้องกันเว็บไซต์จากการโหลดเนื้อหาจากทรัพยากรภายนอกได้อย่างมีประสิทธิภาพ และไม่อนุญาตให้เรียกใช้สคริปต์แบบอินไลน์และ JavaScript ที่ไม่ปลอดภัย:

Content-Security-Policy "default-src 'self' https://mywebsite.com; frame-ancestors 'self'"

เมื่อพิจารณาจากค่า 'self' คำสั่งของบรรพบุรุษของเฟรมจะลดการโจมตีแบบ clickjacking โดยบล็อกการเฟรมเนื้อหา

นโยบายความปลอดภัยของเนื้อหาและเครือข่ายการส่งเนื้อหา (CDN)

เนื่องจากเครือข่ายการจัดส่งเนื้อหาส่วนใหญ่ เช่น Cloudflare เข้ากันได้กับนโยบายความปลอดภัยของเนื้อหาอย่างสมบูรณ์ และไม่แก้ไขส่วนหัว CPS จากเซิร์ฟเวอร์ต้นทาง คุณไม่จำเป็นต้องเพิ่มทรัพยากรใดๆ ในรายการที่อนุญาตพิเศษในกฎความปลอดภัยที่คุณกำหนดค่า

การใช้นโยบายความปลอดภัยของเนื้อหาสำหรับ WordPress

WordPress มีปลั๊กอินมากมายสำหรับเพิ่มส่วนหัวการตอบสนอง HTTP ซึ่งเป็นตัวเลือกที่ดีสำหรับผู้ใช้ที่ไม่เชี่ยวชาญด้านเทคนิค แม้ว่านี่จะเป็นตัวเลือกที่สะดวก แต่การตั้งค่าส่วนหัวการตอบสนองด้านความปลอดภัย เช่น นโยบายความปลอดภัยของเนื้อหา สำหรับเว็บไซต์ WordPress ของคุณนั้นเป็นกระบวนการที่ไม่ซับซ้อนซึ่งไม่จำเป็นต้องติดตั้งซอฟต์แวร์ของบุคคลที่สาม

mod_headers Apache และโมดูล ngx_http_headers_module Nginx ช่วยให้คุณสามารถกำหนดค่าส่วนหัวการตอบสนอง HTTP สำหรับเว็บไซต์ของคุณ หากคุณใช้ Nginx คุณสามารถรวมคำสั่ง add_header ในบล็อกเซิร์ฟเวอร์ {} ของเว็บไซต์ของคุณเพื่อกำหนดค่าส่วนหัวการตอบสนอง HTTP

ในทำนองเดียวกัน หากคุณใช้ Apache เป็นเว็บเซิร์ฟเวอร์ของคุณ คุณสามารถใช้คำสั่ง "Header set" และ "Header append" เพื่อกำหนดค่านโยบายความปลอดภัยใน .htaccess ในเครื่องของเว็บไซต์ของคุณที่พบในรูทเอกสาร วิธีนี้การกำหนดค่าที่ระบุในไฟล์ .htaccess ในไดเร็กทอรีรากของเว็บไซต์ของคุณจะถูกนำไปใช้กับหน้าเว็บทั้งหมดบนไซต์

โปรดทราบว่าเมื่อใช้ Apache คุณสามารถกำหนดค่าส่วนหัวการตอบสนอง HTTP ทั้งในเครื่อง – ในไฟล์ .htaccess – และทั่วโลกสำหรับเว็บไซต์ทั้งหมดบนเซิร์ฟเวอร์ เป็นไปได้ว่าผู้ให้บริการโฮสติ้งของคุณอาจกำหนดค่าส่วนหัวตอบกลับบางส่วนทั่วโลก โดยเฉพาะอย่างยิ่งหากคุณใช้แผนการโฮสต์ที่ใช้ร่วมกัน การใช้เมธอด “Header set” เพื่อกำหนดค่า Content Security Policy จะเขียนทับกฎส่วนกลางที่มีอยู่อย่างสมบูรณ์ ในขณะที่การใช้ “Header append” จะรวมนโยบายใหม่ของคุณเข้ากับส่วนหัวการตอบกลับที่มีอยู่แทนที่จะแทนที่การกำหนดค่าทั้งหมด

คุณสามารถเพิ่มการกำหนดค่านโยบายความปลอดภัยของเนื้อหาด้านล่างเพื่อบังคับใช้การควบคุมความปลอดภัยที่เข้มงวดบนเว็บไซต์ WordPress ของคุณ

สำหรับอาปาเช่:

 Header set Content-Security-Policy "default-src 'self' https://mywebsite.com; frame-ancestors 'self';"

สำหรับ Nginx:

 add_header Content-Security-Policy "default-src 'self' https://mywebsite.com; frame-ancestors 'self';"

การกำหนดค่านโยบายความปลอดภัยของเนื้อหาที่จะตอบสนองความต้องการด้านความปลอดภัยของเว็บไซต์ของคุณ อาจต้องมีการทดสอบบางอย่าง เช่นเดียวกับความเข้าใจอย่างถ่องแท้เกี่ยวกับฟังก์ชันการทำงานของเว็บไซต์ นอกจากนี้ การใช้โปรโตคอลความปลอดภัยใหม่บนไซต์ WordPress ของคุณอาจทำให้สูญเสียฟังก์ชันการทำงาน ดังนั้น สิ่งสำคัญคือต้องพิจารณาผลกระทบของการเปลี่ยนแปลงใดๆ อย่างรอบคอบ คุณสามารถติดต่อผู้ให้บริการโฮสติ้งของคุณหรือติดต่อนักพัฒนาของคุณเพื่อให้แน่ใจว่าส่วนหัวการรักษาความปลอดภัยได้รับการกำหนดค่าอย่างถูกต้องและจะไม่ก่อให้เกิดผลเสียใดๆ

ใช้การป้องกันเชิงลึกด้วย iThemes Security Pro

ในภาพรวมของภัยคุกคามในปัจจุบัน การนำกลยุทธ์เชิงลึกมาใช้ในการป้องกันเป็นสิ่งสำคัญ เกี่ยวกับแอปพลิเคชันเว็บไดนามิกสมัยใหม่ เช่น WordPress ส่วนหัวของนโยบายความปลอดภัยของเนื้อหาเป็นหัวใจของการป้องกันในเชิงลึก โดยเป็นชั้นการป้องกันที่สำคัญต่อการเขียนสคริปต์ข้ามไซต์ (XSS) การโจมตีด้วยการรวมไฟล์ การคลิกแจ็ก และการโจมตีบนเว็บอื่นๆ

การนำโซลูชันการป้องกันเชิงลึกที่ครอบคลุมมาใช้เป็นเรื่องที่ท้าทายเสมอมา แต่ด้วย iThemes Security Pro ซึ่งเป็นปลั๊กอินความปลอดภัยที่แข็งแกร่งและเชื่อถือได้ คุณสามารถปกป้องเว็บไซต์ WordPress ของคุณได้ ด้วยคุณสมบัติต่างๆ เช่น การตรวจสอบความสมบูรณ์ของไฟล์ การสแกนช่องโหว่ การอัปเดตซอฟต์แวร์อัตโนมัติ และการยืนยันตัวตนแบบไม่ใช้รหัสผ่าน คุณจึงมั่นใจได้ว่าส่วนที่สำคัญทั้งหมดของเว็บไซต์ WordPress ของคุณจะได้รับการปกป้องจากภัยคุกคามด้านความปลอดภัยที่พัฒนาตลอดเวลา

ปลั๊กอินความปลอดภัย WordPress ที่ดีที่สุดเพื่อรักษาความปลอดภัยและปกป้อง WordPress

ปัจจุบัน WordPress มีอำนาจมากกว่า 40% ของเว็บไซต์ทั้งหมด ดังนั้นจึงกลายเป็นเป้าหมายที่ง่ายสำหรับแฮ็กเกอร์ที่มีเจตนาร้าย ปลั๊กอิน iThemes Security Pro นำการคาดเดาออกจากความปลอดภัยของ WordPress เพื่อให้ง่ายต่อการรักษาความปลอดภัยและปกป้องเว็บไซต์ WordPress ของคุณ มันเหมือนกับการมีผู้เชี่ยวชาญด้านความปลอดภัยเต็มเวลาเป็นพนักงานที่คอยตรวจสอบและปกป้องไซต์ WordPress ของคุณอย่างต่อเนื่อง

รับ iThemes Security Pro

กีกี้ เชลดอน

Kiki สำเร็จการศึกษาระดับปริญญาตรีด้านการจัดการระบบข้อมูลและมีประสบการณ์มากกว่าสองปีใน Linux และ WordPress ปัจจุบันเธอทำงานเป็นผู้เชี่ยวชาญด้านความปลอดภัยให้กับ Liquid Web และ Nexcess ก่อนหน้านั้น Kiki เป็นส่วนหนึ่งของทีมสนับสนุน Liquid Web Managed Hosting ซึ่งเธอได้ช่วยเหลือเจ้าของเว็บไซต์ WordPress หลายร้อยรายและเรียนรู้ว่าพวกเขามักพบปัญหาทางเทคนิคอะไรบ้าง ความหลงใหลในการเขียนของเธอทำให้เธอแบ่งปันความรู้และประสบการณ์เพื่อช่วยเหลือผู้คน นอกเหนือจากเทคโนโลยีแล้ว Kiki ยังสนุกกับการเรียนรู้เกี่ยวกับอวกาศและฟังพอดคาสต์เกี่ยวกับอาชญากรรมอย่างแท้จริง