WordPress如何设置安全头

1. 首先得明白，安全头这东西就像给网站穿盔甲，能挡掉不少明枪暗箭。WordPress本身没自带完整设置，得靠代码或者插件来搞。推荐用.htaccess文件动手，毕竟直接控制服务器响应头最彻底。

2. 打开你主机的.htaccess文件（在网站根目录），加上这段代码框住的内容：

<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "geolocation=(), camera=()"
</IfModule>

这儿每行都管一个安全项：比如X-Frame-Options防点击劫持，Referrer-Policy控制来源信息泄露——别让第三方偷摸跟踪用户从哪来的。

3. 要是想搞CSP（内容安全策略），就得小心点。这玩意儿能限制脚本和样式加载源，但设错了可能直接崩站。建议先用报告模式试水：

Header set Content-Security-Policy-Report-Only "default-src 'self'; report-uri /csp-violation-report-endpoint"

等没报错了再切到强制模式。记得把report-uri换成你自己接报告的地址，不然漏了洞都不知道。

4. 对于HTTPS强制跳转和HSTS（强制安全传输），其实也算安全头的一部分。在.htaccess里加个重定向：

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

然后HSTS可以这样——但注意一旦启用最少生效半年，别手滑：

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

5. 最后提一嘴插件方案：像“Security Headers”这类工具能点点鼠标就配置，适合不想碰代码的人。但底层原理还是改响应头，只不过包了一层界面。自己写代码的话更灵活，能精准控制每个头的参数，比如把Permissions-Policy里的摄像头权限关掉，防止恶意调用。

总之安全头不是万能药，但少了肯定要挨打。定期用https://securityheaders.com/扫描下，补漏补缺才踏实。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。