WordPress에서 HTTP 보안 헤더를 추가하는 방법 (초보자 가이드)

최근 게시물 게시판 wordpress WordPress에서 HTTP 보안 헤더를 추가하는 방법 (초보자 가이드)

  • WordPress에 HTTP 보안 헤더를 추가 하시겠습니까?

    HTTP 보안 헤더를 사용하면 WordPress 웹 사이트에 추가 보안 계층을 추가 할 수 있습니다. 웹 사이트 성능에 영향을 미치는 일반적인 악성 활동을 차단할 수 있습니다.

    이 초보자 가이드에서는 WordPress에서 HTTP 보안 헤더를 쉽게 추가하는 방법을 보여줍니다.

    HTTP 보안 헤더 란 무엇입니까?

    HTTP 보안 헤더는 웹 사이트 서버가 웹 사이트에 영향을 미치기 전에 몇 가지 일반적인 보안 위협을 방지 할 수 있도록하는 보안 조치입니다.

    기본적으로 사용자가 웹 사이트를 방문하면 웹 서버가 HTTP 헤더 응답을 브라우저로 다시 보냅니다. 이 응답은 브라우저에 오류 코드, 캐시 제어 및 기타 상태를 알려줍니다.

    정상적인 헤더 응답은 HTTP 200이라는 상태를 발행합니다. 그 후 웹 사이트가 사용자의 브라우저에로드됩니다. 그러나 웹 사이트에 문제가있는 경우 웹 서버가 다른 HTTP 헤더를 보낼 수 있습니다.

    예를 들어, 500 내부 서버 오류, 또는 찾을 수 없음 404 오류 암호.

    HTTP 보안 헤더는 이러한 헤더의 하위 집합이며 클릭 재킹, 교차 사이트 스크립팅, 무차별 대입 공격, 그리고 더.

    HTTP 보안 헤더의 모양과 웹 사이트를 보호하기 위해 수행하는 작업을 간단히 살펴 보겠습니다.

    HSTS (HTTP Strict Transport Security)

    HSTS (HTTP Strict Transport Security) 헤더는 웹 브라우저에 웹 사이트가 HTTP를 사용하며 HTTP와 같은 안전하지 않은 프로토콜을 사용하여로드해서는 안됨을 알려줍니다.

    이동 한 경우 HTTP에서 HTTP로 WordPress 웹 사이트이 보안 헤더를 사용하면 브라우저가 HTTP에서 웹 사이트를로드하지 못하도록 할 수 있습니다.

    X-XSS 보호

    X-XSS 보호 헤더를 사용하면 교차 사이트 스크립팅이 WordPress 웹 사이트.

    X- 프레임 옵션

    X-Frame-Options 보안 헤더는 교차 도메인 iframe 또는 클릭 재킹을 방지합니다.

    X-Content-Type- 옵션

    X-Content-Type-Options는 콘텐츠 MIME 유형 스니핑을 차단합니다.

    즉, WordPress에서 HTTP 보안 헤더를 쉽게 추가하는 방법을 살펴 보겠습니다.

    WordPress에 HTTP 보안 헤더 추가

    HTTP 보안 헤더는 웹 서버 수준 (예 : WordPress 호스팅 계정). 이를 통해 일반적인 HTTP 요청 중에 초기에 트리거 될 수 있으며 최대의 이점을 제공합니다.

    DNS 수준을 사용하는 경우 더 잘 작동합니다. 웹 사이트 애플리케이션 방화벽 Sucuri 또는 Cloudflare처럼. 각 방법을 보여 드리며 자신에게 가장 적합한 방법을 선택할 수 있습니다.

    다음은 다른 방법에 대한 빠른 링크입니다. 자신에게 적합한 방법으로 이동할 수 있습니다.

    1. Sucuri를 사용하여 WordPress에 HTTP 보안 헤더 추가

    수 쿠리 이다 최고의 WordPress 보안 플러그인 시장에서. 웹 사이트 방화벽 서비스도 사용하는 경우 코드를 작성하지 않고도 HTTP 보안 헤더를 설정할 수 있습니다.

    먼저 가입해야합니다. 수 쿠리 계정. 서버 수준의 웹 사이트 방화벽, 보안 플러그인, CDN 및 맬웨어 제거 보장과 함께 제공되는 유료 서비스입니다.

    가입하는 동안 간단한 질문에 답하고 Sucuri 문서는 웹 사이트에 웹 사이트 애플리케이션 방화벽을 설정하는 데 도움이됩니다.

    가입 후 무료로 설치하고 활성화해야합니다. Sucuri 플러그인. 자세한 내용은 단계별 가이드를 참조하십시오. WordPress 플러그인 설치 방법.

    활성화되면 Sucuri Security»방화벽 (WAF) 페이지를 열고 방화벽 API 키를 입력하십시오. 귀하의 계정에서이 정보를 찾을 수 있습니다. 수 쿠리 웹 사이트.

    Sucuri WAF API 키

    저장 버튼을 클릭하여 변경 사항을 저장하십시오.

    다음으로 Sucuri 계정 대시 보드로 전환해야합니다. 여기에서 상단의 설정 메뉴를 클릭 한 다음 보안 탭으로 전환하십시오.

    Sucuri에서 HTTP 보안 헤더 설정

    여기에서 세 가지 규칙 세트를 선택할 수 있습니다. 기본 보호, HSTS 및 HSTS Full. 각 규칙 세트에 적용되는 HTTP 보안 헤더를 볼 수 있습니다.

    변경 사항을 적용하려면 ‘추가 헤더에 변경 사항 저장’버튼을 클릭하십시오.

    이제 Sucuri가 WordPress에 선택한 HTTP 보안 헤더를 추가합니다. DNS 수준의 WAF이므로 웹 사이트 트래픽이 웹 사이트에 도달하기 전에 해커로부터 보호됩니다.

    2. Cloudflare를 사용하여 WordPress에 HTTP 보안 헤더 추가

    Cloudflare는 기본 무료 웹 사이트 방화벽 및 CDN 서비스를 제공합니다. 무료 요금제에는 고급 보안 기능이 없으므로 더 비싼 Pro 요금제로 업그레이드해야합니다.

    사이트에 Cloudflare를 추가하려면 방법에 대한 자습서를 참조하십시오. WordPress에 Cloudflare 무료 CDN 추가.

    웹 사이트에서 Cloudflare가 활성화되면 Cloudflare 계정 대시 보드 아래의 SSL / TLS 페이지로 이동 한 다음 Edge 인증서 탭으로 전환합니다.

    Cloudflare에서 HTTPS 보안 헤더 설정

    이제 HSTS (HTTP Strict Transport Security) 섹션으로 스크롤하여 ‘HSTS 활성화’버튼을 클릭합니다.

    Cloudflare에서 HSTS 활성화

    그러면 HTTPS를 활성화해야한다는 지침이있는 팝업이 나타납니다. WordPress 블로그 이 기능을 사용하기 전에. 계속하려면 다음 버튼을 클릭하면 HTTP 보안 헤더를 추가하는 옵션이 표시됩니다.

    Cloudflare에서 HTTPS 보안 헤더 활성화

    여기에서 HSTS, no-sniff 헤더를 활성화하고 HSTS를 하위 도메인 (HTTPS를 사용하는 경우)에 적용하고 HSTS를 미리로드 할 수 있습니다.

    이 방법은 HTTP 보안 헤더를 사용하여 기본 보호를 제공합니다. 그러나 X-Frame-Options를 추가 할 수 없으며 Cloudflare에는이를 수행 할 수있는 사용자 인터페이스가 없습니다.

    Workers 기능을 사용하여 스크립트를 생성하여이를 수행 할 수 있습니다. 그러나 HTTPS 보안 헤더 스크립트를 만들면 초보자에게 예기치 않은 문제가 발생할 수 있으므로 권장하지 않습니다.

    3. .htaccess를 사용하여 WordPress에 HTTP 보안 헤더 추가

    이 방법을 사용하면 서버 수준에서 WordPress의 HTTP 보안 헤더를 설정할 수 있습니다.

    편집해야합니다. .htaccess 파일 귀하의 웹 사이트에서. 가장 일반적으로 사용되는 Apache 웹 서버 소프트웨어에서 사용하는 서버 구성 파일입니다.

    웹 사이트에 연결하기 만하면됩니다. FTP 클라이언트 사용, 또는 호스팅 제어판의 파일 관리자 앱. 웹 사이트의 루트 폴더에서 .htaccess 파일을 찾아 편집해야합니다.

    WordPress에서 .htaccess 파일 편집

    일반 텍스트 편집기에서 파일이 열립니다. 파일 하단에서 WordPress 웹 사이트에 HTTPS 보안 헤더를 추가하는 코드를 추가 할 수 있습니다.

    다음 샘플 코드를 시작점으로 사용할 수 있으며 가장 일반적으로 사용되는 HTTP 보안 헤더를 최적의 설정으로 설정합니다.

    <ifModule mod_headers.c>
    Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
    Header set X-XSS-Protection "1; mode=block"
    Header set X-Content-Type-Options nosniff
    Header set X-Frame-Options DENY
    Header set Referrer-Policy: no-referrer-when-downgrade
    </ifModule>
    

    변경 사항을 저장하고 웹 사이트를 방문하여 모든 것이 예상대로 작동하는지 확인하는 것을 잊지 마십시오.

    노트 : .htaccess 파일의 잘못된 헤더 또는 충돌이 트리거 될 수 있습니다. 500 내부 서버 오류 대부분의 웹 호스트에서.

    4. 플러그인을 사용하여 WordPress에 HTTP 보안 헤더 추가

    이 방법은 헤더를 수정하기 위해 WordPress 플러그인에 의존하기 때문에 약간 덜 효과적입니다. 그러나 WordPress 웹 사이트에 HTTP 보안 헤더를 추가하는 가장 쉬운 방법이기도합니다.

    먼저 설치하고 활성화해야합니다. 리디렉션 플러그인. 자세한 내용은 단계별 가이드를 참조하십시오. WordPress 플러그인 설치 방법.

    활성화되면 플러그인에 따라 플러그인을 설정할 수있는 설정 마법사가 표시됩니다. 그 후 도구»리디렉션 페이지에서 ‘사이트’탭으로 전환합니다.

    리디렉션 플러그인의 사이트 설정

    다음으로 페이지 하단으로 스크롤하여 HTTP 헤더 섹션으로 이동하고 ‘헤더 추가’버튼을 클릭해야합니다. 드롭 다운 메뉴에서 ‘보안 사전 설정 추가’옵션을 선택해야합니다.

    리디렉션을 사용하여 헤더 사전 설정 추가

    그런 다음 해당 옵션을 추가하려면 다시 클릭해야합니다. 이제 미리 설정된 HTTP 보안 헤더 목록이 테이블에 표시됩니다.

    HTTP 보안 헤더 사전 설정

    이러한 헤더는 보안에 최적화되어 있으므로 검토하고 필요한 경우 변경할 수 있습니다. 완료되면 업데이트 버튼을 클릭하여 변경 사항을 저장하는 것을 잊지 마십시오.

    이제 웹 사이트를 방문하여 모든 것이 제대로 작동하는지 확인할 수 있습니다.

    웹 사이트의 HTTP 보안 헤더를 확인하는 방법

    이제 웹 사이트에 HTTP 보안 헤더를 추가했습니다. 무료로 구성을 테스트 할 수 있습니다. 보안 헤더 수단. 웹 사이트 URL을 입력하고 스캔 버튼을 클릭하기 만하면됩니다.

    WordPress 보안 헤더 확인

    그런 다음 웹 사이트의 HTTP 보안 헤더를 확인하고 보고서를 표시합니다. 이 도구는 대부분의 웹 사이트가 사용자 경험에 영향을주지 않고 기껏해야 B 또는 C 점수를 얻으므로 무시할 수있는 소위 등급 레이블을 생성합니다.

    웹 사이트에서 전송 한 HTTP 보안 헤더와 포함되지 않은 보안 헤더를 보여줍니다. 설정하려는 보안 헤더가 여기에 나열되면 완료된 것입니다.

    이 기사가 WordPress에서 HTTP 보안 헤더를 추가하는 방법을 배우는 데 도움이 되었기를 바랍니다. 당신은 또한 우리의 완전한 WordPress 보안 가이드, 전문가가 선택한 최고의 WordPress 플러그인 비즈니스 웹 사이트 용.

    이 기사가 마음에 들면 구독하십시오. 유튜브 채널 WordPress 비디오 자습서 용. 당신은 또한 우리를 찾을 수 있습니다 트위터페이스 북.

    게시물 WordPress에서 HTTP 보안 헤더를 추가하는 방법 (초보자 가이드) 처음 등장 WPBeginner.

    Source link

    신고하기
  • 답변은 로그인 후 가능합니다.