در صورتی که از https روی سایت خود استفاده میکنید، بهترین کار برای افزایش امنیت و افزایش سرعت سایت، این است که حتما HSTS را فعال نمایید. HSTS به معنای HTTP Strict Transport Security بوده و این امکان را به شما میدهد که با حملات man-in-the-middle مقابله کرده و مانع آن ها شوید. شاید درک این موضوع برای شما کمی سخت باشد، اما در ادامه به طور دقیق به شما میگوییم HSTS چیست و چگونه میتوان آن را روی وردپرس نصب کرد.
HSTS چیست و چگونه کار میکند؟
در حالت کلی شما هنگامی که SSL را روی سایت خود نصب می کنید، اولین کاری که باید انجام دهید، این است که در تنظیمات وردپرس، آدرس سایت خود را به https تغییر دهید. در نتیجه برای باز کردن سایت خود، در صورتی که آدرس سایت را به شکل http://pars.host در مرورگر ثبت کنید، به طور خودکار به https://pars.host منتقل خواهید شد.
در واقع درخواستی که از سمت وب سرور شما برای مرورگر ارسال میشود، این انتقال را امکان پذیر میکند. اما در صورتی که مرورگر با دیدن آدرس سایت شما، خود این انتقال را در آینده انجام دهد، شرایط بهتر نخواهد نشد؟ قطعا این روش بسیار بهتر و کارآمدتر خواهد بود. برای رخ دادن چنین اتفاقی، بهترین روش استفاده از HSTS است.
فعال کردن HSTS در وردپرس
برای این که بتوانید HSTS را در وردپرس خود فعال کنید، باید یک هدر جدید در بین درخواست هایی که از سمت سرور برای مرورگر کاربر ارسال شود، وجود داشته باشد. برای انجام این کار کافیست با توجه به وب سرور سایت خود، از این دو روش زیر استفاده نمایید.
1) فعالسازی در وب سرور آپاچی و لایت اسپید
برای فعال سازی HSTS در وب سرور آپاچی و لایت اسپید که برای ۹۹ درصد سایتها مناسب است، تنها کافیست روی فایل منیجر هاست خود کلیک کرده و وارد آن شوید. فایل منیجر هاست در سی پنل و دایرکت ادمین با نام FileManager قابل مشاهده است.
پس از وارد شدن به فایل منیجر، پوشه public_html را باز کنید. سپس برای ویرایش فایل htaccess اقدام کرده و کد زیر را در این فایل ثبت کنید:
<IfModule mod_headers.c> Header set Strict-Transport-Security "max-age=31536000;preload" env=HTTPS </IfModule>
سپس فایل مورد نظر را ذخیره نمایید. پس از آن مشاهده خواهید کرد که حتی قبل از آن که درخواستی به وب سرور شما ارسال شود، سایت شما به صورت خودکار از http به https ریدایرکت می شود.
اما در صورتی که میخواهید همه ساب دامینهای شما از https استفاده کنند، به جای کدی که در بالا گفته شد، حتما از کد زیر استفاده کنید:
<IfModule mod_headers.c> Header set Strict-Transport-Security "max-age=31536000;includeSubDomains;preload" env=HTTPS </IfModule>
۲) فعال کردن HSTS در وب سرور NGINX
در صورتی که از وب سرور انجین ایکس استفاده میکنید، نحوه فعال کردن HSTS کمی متفاوت است. به طور تقریبی تنها یک درصد سایت های ایرانی از NGINX استفاده می کنند.
پس در صورتی که سرور مجازی یا اختصاصی دارید و از وب سرور NGINX استفاده میکنید، کافیست در وب سرور خود فایل nginx.conf را پیدا کرده و سپس کد زیر را در بخش Virtual Server مخصوص سایت خود اضافه نمایید:
add_header Strict-Transport-Security "max-age=63072000;";
پس از آن وب سرور NGINX خود را ریستارت کرده و از HSTS در سایت خود بهره کافی را ببرید.
چگونه از فعال بودن HSTS مطمئن شویم؟
برای اطمینان حاصل کردن از فعال بودن HSTS روی سایت خود، میتوانید وارد سایت https://gf.dev/hsts-test شوید. سپس آدرس سایت خود را وارد نموده و روی گزینه تست کلیک کنید. این سایت وضعیت HSTS روی سایت شما را به خوبی بررسی کرده و فعال یا غیر فعال بودن آن را تعیین میکند.
مطلب مرتبط:
دیدگاهتان را بنویسید