deraone Deraone adalah penyedia managed vps dan web hosting yang memenuhi semua kebutuhan platform Anda. Kami memberikan layanan dengan teknologi terkini dengan layanan yang profesional. Temukan pengalaman terbaik Anda bersama kami.

Cara Mudah Menambahkan HTTP Security Header

4 min read

HTTP SECURITY HEADER

HTTP Security Header memungkinkan Anda menambahkan lapisan keamanan ekstra ke situs WordPress Anda. Tambahan sederhana itu dapat membantu memblokir aktivitas berbahaya yang sudah cukup umum agar tidak memengaruhi kinerja situs web Anda.

Dalam panduan pemula ini, kami akan menunjukkan kepada Anda cara menambahkan header keamanan HTTP dengan mudah di WordPress.

Apa itu HTTP Security Header?

Header keamanan HTTP adalah ukuran keamanan yang memungkinkan server situs web Anda mencegah beberapa ancaman keamanan umum sebelum memengaruhi situs web Anda.

Pada dasarnya, ketika pengguna mengunjungi situs web Anda, server web Anda mengirimkan respons tajuk HTTP kembali ke browser mereka. Respons ini memberi tahu browser tentang kode kesalahan, kontrol cache, dan status lainnya.

Respons tajuk normal mengeluarkan status yang bernama HTTP 200. Setelah itu, situs web Anda dimuat di browser pengguna. Namun, jika situs web Anda mengalami kesulitan, server web Anda mungkin mengirim header HTTP yang berbeda.

Misalnya, ini mungkin mengirim 500 internal server error, atau kode error 404 not found.

Header keamanan HTTP adalah bagian dari header ini dan berfungsi untuk mencegah situs web dari ancaman umum seperti pembajakan klik, skrip lintas situs, serangan brute force, dan banyak lagi.

Mari kita lihat sekilas seperti apa header keamanan HTTP dan apa fungsinya untuk melindungi situs Anda.

HTTP Strict Transport Security (HSTS)

Header HTTP Strict Transport Security (HSTS) memberi tahu browser web bahwa situs Anda menggunakan HTTP dan tidak boleh dimuat menggunakan protokol yang tidak aman seperti HTTP.

Jika Anda telah memindahkan situs WordPress Anda dari HTTP ke HTTPs, maka tajuk keamanan ini memungkinkan Anda untuk menghentikan browser memuat situs web Anda di HTTP.

Perlindungan X-XSS

Header X-XSS Protection memungkinkan Anda memblokir skrip lintas situs agar tidak dimuat di situs WordPress Anda.

X-Frame-Options

Header keamanan X-Frame-Options mencegah iframe lintas domain atau pembajakan klik.

X-Content-Type-Options

X-Content-Type-Options memblokir sniffing jenis mime konten.

Karena itu, mari kita lihat cara menambahkan header keamanan HTTP dengan mudah di WordPress.

Menambahkan Header Keamanan HTTP di WordPress

HTTP Security Header berfungsi paling baik jika disetel di tingkat server web (misalnya. Akun hosting WordPress Anda). Ini memungkinkan mereka untuk dipicu sejak awal selama permintaan HTTP biasa dan memberikan manfaat maksimal.

Mereka bekerja lebih baik jika Anda menggunakan firewall aplikasi situs web tingkat DNS seperti Sucuri atau Cloudflare. Kami akan menunjukkan kepada Anda setiap metode, dan Anda dapat memilih salah satu yang paling sesuai untuk Anda.

1. Menambahkan Header Keamanan HTTP di WordPress menggunakan Sucuri

Sucuri adalah plugin keamanan WordPress terbaik di pasaran. Jika Anda juga menggunakan layanan firewall situs web mereka, Anda dapat menyetel header keamanan HTTP tanpa menulis kode apa pun.

Pertama, Anda perlu mendaftar untuk akun Sucuri. Ini adalah layanan berbayar yang lengkap dengan firewall situs web tingkat server, plugin keamanan, CDN, dan jaminan penghapusan malware.

Saat mendaftar, Anda akan menjawab pertanyaan sederhana, dan dokumentasi Sucuri akan membantu Anda mengatur firewall aplikasi situs web di situs web Anda.

Setelah mendaftar, Anda perlu menginstal dan mengaktifkan plugin Sucuri gratis. Untuk lebih jelasnya, lihat panduan langkah demi langkah kami tentang cara memasang plugin WordPress.

Setelah aktivasi, buka halaman Sucuri Security > Firewall (WAF) dan masukkan kunci API Firewall Anda. Anda dapat menemukan informasi ini di bawah akun Anda di situs web Sucuri.

sucuri http security header

Klik tombol Save untuk menyimpan perubahan Anda.

Selanjutnya, Anda perlu beralih ke dasbor akun Sucuri Anda. Dari sini, klik menu Settings di atas dan kemudian beralih ke tab Security.

sucuri

Dari sini Anda dapat memilih tiga rangkaian aturan. Proteksi default, HSTS, dan HSTS Full. Anda akan melihat header keamanan HTTP mana yang akan diterapkan untuk setiap rangkaian aturan.

Klik tombol ‘Save Changes in the Additional Headers‘ untuk menerapkan perubahan Anda.

Itu saja, Sucuri sekarang akan menambahkan header keamanan HTTP pilihan Anda di WordPress. Karena ini adalah WAF tingkat DNS, lalu lintas situs web Anda terlindungi dari peretas bahkan sebelum mereka mencapai situs web Anda.

2. Menambahkan Header Keamanan di WordPress menggunakan Cloudflare

Cloudflare menawarkan firewall situs web gratis dasar dan layanan CDN. Itu tidak memiliki fitur keamanan lanjutan dalam paket gratis mereka, jadi Anda perlu meningkatkan ke paket Pro mereka yang lebih mahal.

Untuk menambahkan Cloudflare di situs Anda, lihat tutorial kami tentang cara menambahkan CDN gratis Cloudflare di WordPress.

Setelah Cloudflare aktif di situs web Anda, buka halaman SSL / TLS di bawah dasbor akun Cloudflare Anda dan kemudian beralih ke tab Sertifikat Edge.

cloudflare http security header

Sekarang, gulir ke bawah ke bagian HTTP Strict Transport Security (HSTS) dan klik tombol ‘Enable HSTS‘ untuk mengaktifkan.

cloudflare hsts

Ini akan memunculkan popup dengan instruksi yang memberi tahu Anda bahwa Anda harus mengaktifkan HTTPS di blog WordPress Anda sebelum menggunakan fitur ini. Klik tombol Next untuk melanjutkan, dan Anda akan melihat opsi untuk menambahkan header keamanan HTTP.

https header

Dari sini, Anda dapat mengaktifkan HSTS, header no-sniff, menerapkan HSTS ke subdomain (jika mereka menggunakan HTTPS), dan melakukan pramuat HSTS.

Metode ini memberikan perlindungan dasar menggunakan header keamanan HTTP. Namun, itu tidak memungkinkan Anda menambahkan X-Frame-Options dan Cloudflare tidak memiliki antarmuka pengguna untuk melakukannya.

Anda masih dapat melakukannya dengan membuat skrip menggunakan fitur Pekerja. Namun, membuat skrip header keamanan HTTPS dapat menyebabkan masalah tak terduga bagi pemula, itulah sebabnya kami tidak merekomendasikannya.

3. Menambahkan Header Keamanan di WordPress menggunakan .htaccess

Metode ini memungkinkan Anda mengatur header keamanan HTTP di WordPress pada tingkat server.

Ini mengharuskan Anda untuk mengedit file .htaccess di situs web Anda. Ini adalah file konfigurasi server dalam perangkat lunak server web Apache yang paling umum digunakan.

Cukup sambungkan ke situs web Anda menggunakan klien FTP, atau aplikasi pengelola file di panel kontrol hosting Anda. Di folder root situs Anda, Anda perlu mencari file .htaccess dan mengeditnya.

htaccess

Ini akan membuka file di editor teks biasa. Di bagian bawah file, Anda dapat menambahkan kode untuk menambahkan header keamanan HTTPS ke situs WordPress Anda.

Anda dapat menggunakan kode contoh berikut sebagai titik awal, ini menetapkan header keamanan HTTP yang paling umum digunakan dengan pengaturan optimal:

<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>

Jangan lupa untuk menyimpan perubahan Anda dan kunjungi situs web Anda untuk memastikan semuanya berfungsi seperti yang Anda harapkan.

Catatan: Header yang salah atau konflik dalam file .htaccess dapat memicu 500 kesalahan server internal di sebagian besar host web.

4. Menambahkan Header Keamanan HTTP di WordPress menggunakan Plugin

Metode ini sedikit kurang efektif karena mengandalkan plugin WordPress untuk memodifikasi header. Namun, ini juga merupakan cara termudah untuk menambahkan header keamanan HTTP ke situs WordPress Anda.

Pertama, Anda perlu menginstal dan mengaktifkan plugin Redirection. Untuk lebih jelasnya, lihat panduan langkah demi langkah kami tentang cara memasang plugin WordPress.

Setelah aktivasi, plugin akan menampilkan wizard penyiapan yang dapat Anda ikuti untuk menyiapkan plugin. Setelah itu, pergi ke Halaman Tools > Redirection dan beralih ke tab ‘Situs’.

redirection http header security

Selanjutnya, Anda perlu menggulir ke bawah ke bagian bawah halaman ke bagian HTTP Headers dan klik tombol ‘Add Header’. Dari menu drop-down, Anda perlu memilih opsi ‘Add Security Presets’.

header redirection

Setelah itu, Anda perlu mengkliknya lagi untuk menambahkan opsi tersebut. Sekarang, Anda akan melihat daftar preset dari header keamanan HTTP muncul di tabel.

common http

Header ini dioptimalkan untuk keamanan, Anda dapat memeriksanya dan mengubahnya jika perlu. Setelah Anda selesai, jangan lupa juga untuk mengklik tombol Perbarui untuk menyimpan perubahan Anda.

Sekarang Anda dapat mengunjungi situs web Anda untuk memastikan semuanya berfungsi dengan baik.

Cara Memeriksa HTTP Security Header untuk Situs Web

Sekarang, Anda telah menambahkan header Keamanan HTTP ke situs web Anda. Anda dapat menguji konfigurasi Anda menggunakan alat Security Headers gratis. Cukup masukkan URL situs web Anda dan klik tombol Pindai.

http security header test tool

Ini kemudian akan memeriksa header keamanan HTTP untuk situs web Anda dan akan menampilkan laporan kepada Anda. Alat tersebut akan menghasilkan apa yang bernama label nilai yang dapat Anda abaikan karena sebagian besar situs web akan mendapatkan skor B. Atau mungkin juga C paling baik tanpa memengaruhi pengalaman pengguna.

Ini akan menunjukkan kepada Anda header keamanan HTTP mana yang dikirim oleh situs web Anda dan juga header keamanan mana yang tidak disertakan. Jika header keamanan yang ingin Anda atur terdaftar di sana, maka Anda sudah selesai.

deraone Deraone adalah penyedia managed vps dan web hosting yang memenuhi semua kebutuhan platform Anda. Kami memberikan layanan dengan teknologi terkini dengan layanan yang profesional. Temukan pengalaman terbaik Anda bersama kami.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *