HSTS چیست؟ چگونه اچ اس تی اس را در وردپرس فعال کنیم؟

در صورتی که از https روی سایت خود استفاده می‌کنید، بهترین کار برای افزایش امنیت و افزایش سرعت سایت، این است که حتما HSTS را فعال نمایید. HSTS به معنای HTTP Strict Transport Security بوده و این امکان را به شما می‌دهد که با حملات man-in-the-middle مقابله کرده و مانع آن ها شوید. شاید درک این موضوع برای شما کمی سخت باشد، اما در ادامه به طور دقیق به شما می‌گوییم HSTS چیست و چگونه می‌توان آن را روی وردپرس نصب کرد.

HSTS چیست و چگونه کار می‌کند؟

در حالت کلی شما هنگامی که SSL را روی سایت خود نصب می‌ کنید، اولین کاری که باید انجام دهید، این است که در تنظیمات وردپرس، آدرس سایت خود را به https تغییر دهید. در نتیجه برای باز کردن سایت‌ خود، در صورتی که آدرس سایت را به شکل http://pars.host در مرورگر ثبت کنید، به‌ طور خودکار به https://pars.host منتقل خواهید شد.

در واقع درخواستی که از سمت وب سرور شما برای مرورگر ارسال می‌شود، این انتقال را امکان پذیر می‌کند. اما در صورتی که مرورگر با دیدن آدرس سایت شما، خود این انتقال را در آینده انجام دهد، شرایط بهتر نخواهد نشد؟ قطعا این روش بسیار بهتر و کارآمدتر خواهد بود. برای رخ دادن چنین اتفاقی، بهترین روش استفاده از HSTS است.

فعال کردن HSTS در وردپرس

برای این که بتوانید HSTS را در وردپرس خود فعال کنید، باید یک هدر جدید در بین درخواست‌ هایی که از سمت سرور برای مرورگر کاربر ارسال شود، وجود داشته باشد. برای انجام این‌ کار کافیست با توجه به وب سرور سایت خود، از این دو روش زیر استفاده نمایید.

１) فعالسازی در وب سرور آپاچی و لایت اسپید

برای فعال سازی HSTS در وب سرور آپاچی و لایت اسپید که برای ۹۹ درصد سایت‌ها مناسب است، تنها کافیست روی فایل منیجر هاست خود کلیک کرده و وارد آن شوید. فایل منیجر هاست در سی پنل و دایرکت ادمین با نام FileManager قابل مشاهده است.

پس از وارد شدن به فایل منیجر، پوشه public_html را باز کنید. سپس برای ویرایش فایل htaccess اقدام کرده و کد زیر را در این فایل ثبت کنید:

<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000;preload" env=HTTPS
</IfModule>

سپس فایل مورد نظر را ذخیره نمایید. پس از آن مشاهده خواهید کرد که حتی قبل از آن که درخواستی به وب سرور شما ارسال شود، سایت شما به‌ صورت خودکار از http به https ریدایرکت می‌ شود.

اما در صورتی که می‌خواهید همه ساب دامین‌های شما از https استفاده کنند، به جای کدی که در بالا گفته شد، حتما از کد زیر استفاده کنید:

<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000;includeSubDomains;preload" env=HTTPS
</IfModule>

۲) فعال کردن HSTS در وب سرور NGINX

در صورتی که از وب سرور انجین ایکس استفاده می‌کنید، نحوه فعال کردن HSTS کمی متفاوت است. به طور تقریبی تنها یک درصد سایت‌ های ایرانی از NGINX استفاده می‌ کنند.

پس در صورتی که سرور مجازی یا اختصاصی دارید و از وب سرور NGINX استفاده می‌کنید، کافیست در وب سرور خود فایل nginx.conf را پیدا کرده و سپس کد زیر را در بخش Virtual Server مخصوص سایت خود اضافه نمایید:

add_header Strict-Transport-Security 
"max-age=63072000;";

پس از آن وب سرور NGINX خود را ریستارت کرده و از HSTS در سایت خود بهره کافی را ببرید.

چگونه از فعال بودن HSTS مطمئن شویم؟

برای اطمینان حاصل کردن از فعال بودن HSTS روی سایت خود، می‌توانید وارد سایت https://gf.dev/hsts-test شوید. سپس آدرس سایت خود را وارد نموده و روی گزینه تست کلیک کنید. این سایت وضعیت HSTS روی سایت شما را به خوبی بررسی کرده و فعال یا غیر فعال بودن آن را تعیین می‌کند.

مطلب مرتبط:

• آموزش نصب و کانفیگ وب سرور NGINX
• خرید گواهینامه امنیتی SSL