説明
Headers Security Advanced & HSTS WP は最高のオールインワンで、すべての WordPress ユーザー向けの無料プラグインです。このプラグインを無効にすると、サイトの構成が以前の状態に正確に戻ります。
Headers Security Advanced & HSTS WP プロジェクトは、サイトが Web サイトのセキュリティを強化するために使用できる HTTP 応答ヘッダーを実装します。プラグインはすべてのベストプラクティスを自動的に設定します (何も考える必要はありません) 。これらの HTTP 応答ヘッダーは、最新のブラウザーが簡単に予測可能な脆弱性に遭遇するのを防ぐことができます。Headers Security Advanced & HSTS WP プロジェクトは、すべてのワードプレスユーザーにこれらのヘッダーの普及と認知度と使用率を高めたいと考えています。
このプラグインは TentaclePlugins by irn3 によって開発されており、WordPress のセキュリティとベストプラクティスを重視しています。
Headers Security Advanced & の優れた機能を確認してください。 HSTS WP :
- X-XSS-Protection (non-standard)
- Expect-CT
- Access-Control-Allow-Origin
- Access-Control-Allow-Methods
- Access-Control-Allow-Headers
- X-Content-Security-Policy
- X-Content-Type-Options
- X-Frame-Options
- X-Permitted-Cross-Domain-Policies
- X-Powered-By
- Content-Security-Policy
- Referrer-Policy
- HTTP Strict Transport Security / HSTS
- Content-Security-Policy
- Content-Security-Policy-Report-Only
- Clear-Site-Data
- Cross-Origin-Embedder-Policy-Report-Only
- Cross-Origin-Opener-Policy-Report-Only
- Cross-Origin-Embedder-Policy
- Cross-Origin-Opener-Policy
- Cross-Origin-Resource-Policy
- Permissions-Policy
- Strict-dynamic
- Strict-Transport-Security
- FLoC (コホートの複合学習)
Headers Security Advanced & HSTS WP は OWASP CSRF に基づき、ワードプレスサイトを保護します。OWASP CSRF を使用し、プラグインがインストールされると、出力で nonce を使用するメソッドを呼び出すことなく、CSRF を完全に軽減できます。 他の脆弱なプラグイン (CSRF) があっても、サイトは安全になります。
HTTP セキュリティヘッダーは、Web サイトのセキュリティの重要な部分です。Headers Security Advanced & で自動実装後、 HSTS WP は、サイトが遭遇する可能性のある最も悪名高い種類の攻撃からユーザーを保護します。これらのヘッダーは、XSS、コード インジェクション、クリックジャッキングなどから保護します。
We have put a lot of effort into making the most important services operational with Content Security Policy (CSP), below are some examples that we have tested and used with Headers Security Advanced & HSTS WP:
- CSP usage for Google Tag Manager
world’s most popular tag manager - Using CSP for Gravatar
Avatar service for WordPress and Social sites - Using CSP for WordPress Internal Media
support WordPress media - Using CSP for Youtube Embedded Video SDK
support Youtube embedded frames and JS SDK - CSP usage for CookieLaw
privacy technology to meet regulatory requirements - CSP usage for Mailchimp
support for Mailchimp automation, SDK and modules - CSP usage for Google Analytics
support for basic conversion domains such as: stats.g.doubleclick.net and www.google.com - CSP usage for Google Fonts
you’re not loading it on the page, chances are one of your SDKs is using it - Using CSP for Facebook
support Facebook SDK functionality - Using CSP for Stripe
highly secure online payment system - Using CSP for New Relic
it’s a registration and monitoring utility - Using CSP for Linkedin Tags + SDKs
support Linkedin Insight, Linkedin Ads and SDK - Using CSP for OneTrust
OneTrust support helps companies manage privacy requirements - CSP usage for Moat
Moat support to measurement suite such as: ad verification, brand safety, advertising and coverage - CSP usage for jQuery
support of jQuery – JS library - CSP usage for Twitter Widgets & SDKs
support Connect, Widgets and the Twitter client-side SDK - Using CSP for Google Maps
support Google Maps as The ggpht used by streetview - Using CSP for Quantcast Choice
Quantcast support for privacy such as GDPR and CCPA - CSP usage for Twitter Ads & Analytics
Twitter support for advertising and Analytics - Using CSP for Paypal
PayPal support for online payment system - Using CSP for Drift
Drift and Driftt support - CSP usage for Cookiebot
cookie and tracker support, GDPR/ePrivacy and CCPA compliance - CSP usage for Vimeo Embedded Videos SDK
support frames, JS SDK, Froogaloop integration - Using CSP for AppNexus (now Xandr)
AppNexus support for custom retargeting - Using CSP for Mixpanel
support analytics tool with SDK/JS to collect client-side data - Using CSP for Font Awesome
toolkit support for fonts and icons over CSS and Less - Using CSP for Google reCAPTCHA
reCAPTCHA support for fraud and bot protection - CSP usage for Bootstrap CDN
Bootstrap support for CSS frameworks - Using CSP for HubSpot
Hubspot support with many features, used for monitoring and mkt functionality - Using CSP for Hotjar
Hotjar tracker support for analytics and metrics - Using CSP for WP.com
support for wp.com hosting - Using CSP for Akamai mPulse
support for Akamai mPulse, for origin and perimeter integrations - CSP usage for Cloudflare – Rocket-Loader & Mirage
support for Mirage libraries for performance acceleration - Using CSP for Cloudflare – CDN.js
Cloudflare’s open CDN support with multiple libraries - Using CSP for jsDelivr
support jsDelivr free CDN for Open Source
Headers Security Advanced & HSTS WP is based on the OWASP CSRF standard to protect your wordpress site. Using the OWASP CSRF standard, once the plugin is installed, you can customize CSP rules for full CSRF mitigation. The site will be secure despite having other vulnerable plugins (CSRF).
Integration with Sentry, Report URI, URIports and Datadog
Sentry is a well-known platform for monitoring and tracking errors in applications. By integrating Sentry with our plugin, users can:
* Receive detailed reports on content security policy (CSP) violations.
* Monitor and analyze JavaScript exceptions occurring on their site.
* Benefit from advanced tools for proactive troubleshooting.
Monitoring and Integration with Sentry, Datadog and URI Reports for optimal security.
All Free Features
The Headers Security Advanced & HSTS WP version includes all the free features.
ベストプラクティスを使用して、FLoC (コホートの複合学習) を実装しました。まず、Headers Security Advanced & を使用します。HSTS WP は、ブラウザが FLoC (Federated Learning of Cohorts) の「コホート計算」にサイトを含めないようにします。これは、document.interestCohort() を呼び出して、現在使用されているクライアントの FLoC ID を取得できないことを意味します。明らかに、これは現在アクセスしているサイトの外では何もせず、その範囲を超えてクライアントの FLoC を「無効」にしません。
FLoC はまだかなり新しく、まだ広くサポートされていませんが、プログラマーとしてプライバシー保護要素が重要であると考えているため、FLoC をオプトアウトする機能を提供することにしました ! 特別な 「FLoC の自動ブロック」 機能を作成し、常に プライバシー保護とサイバーセキュリティを備えた最高のツールを提供することを主なターゲットとフォーカスとして試みています。
Headers Security Advanced & HSTS WPを使用する前後にサイトを分析します。セキュリティヘッダーは、HTTP セキュリティヘッダーおよび HTTP Strict Transport Security / HSTS のベストプラクティスに従って自己構成されます。
- Check HTTP Security Headers on securityheaders.com
- Check HTTP Strict Transport Security / HSTS at hstspreload.org
- webpagetest.org で WebPageTest を実行してください
- Web サイトの HSTS テスト gf.dev/hsts-test を確認してください
- Check CSP test website csper.io/evaluator
- Check CSP Evaluator csp-evaluator.withgoogle.com
- CSP Content Security Policy Generator addons.mozilla.org
このプラグインは定期的に更新されます。限定的なサポートは無料です。フィードバックをお寄せください (バグ、互換性の問題、または次の更新に関する推奨事項)。私たちはいつでも迅速です:-D.
スクリーンショット
インストール
ITALIAN
- Vai in Plugin ‘Aggiungi nuovo’.
- Cerca Headers Security Advanced & HSTS WP.
- Cerca questo plugin, scaricalo e attivalo.
- Vai in ‘impostazioni’ > ‘Headers Security Advanced & HSTS WP’. Per personalizzare le intestazioni.
- Puoi cambiare questa opzione quando vuoi, Headers Security Advanced & HSTS WP viene impostato in automatico.
ENGLISH
- Go to Plugins ‘Add New’.
- Search for Headers Security Advanced & HSTS WP.
- Search for this plugin, download and activate it.
- Go to ‘settings’ > ‘Headers Security Advanced & HSTS WP’. To customize headers.
- You can change this option whenever you want, Headers Security Advanced & HSTS WP is set automatically.
FRANÇAIS
- Allez dans Plugins ‘Add new’.
- Recherchez Headers Security Advanced & HSTS WP.
- Recherchez ce plugin, téléchargez-le et activez-le.
- Allez dans ‘settings’ > ‘Headers Security Advanced & HSTS WP’. Pour personnaliser les en-têtes
- Vous pouvez modifier cette option quand vous le souhaitez, Headers Security Advanced & HSTS WP est réglé automatiquement.
DEUTSCH
- Gehen Sie zu Plugins ‘Neu hinzufügen’.
- Suchen Sie nach Headers Security Advanced & HSTS WP.
- Suchen Sie nach diesem Plugin, laden Sie es herunter und aktivieren Sie es.
- Gehen Sie zu “Einstellungen” > “Kopfzeilen Sicherheit Erweitert & HSTS WP”. So passen Sie die Kopfzeilen an
- Sie können diese Option jederzeit ändern, Headers Security Advanced & HSTS WP wird automatisch eingestellt.
FAQ
-
What will Report URI monitor for me?
-
Report URI will monitor content security policy (CSP) violations and provide detailed reports on detected violations.
-
What will Datadog monitor for me?
-
Datadog will monitor content security policy (CSP) violations and other security and performance metrics of your site.
-
Where can I find my Datadog API Key?
-
You can find your Datadog API Key in the “API Keys” section under “Integrations” in the Datadog control panel. Once the plug-in is activated it performs a test (before and after): Manage CSP reporting with Datadog
-
What will Sentry monitor for me?
-
Sentry will monitor and log content security policy (CSP) violations and other JavaScript exceptions that occur on your site.
-
How can I configure Sentry integration with the plugin?
-
- Log in to your Sentry dashboard.
- Click on the “Projects” menu item.
- Select the project you have created.
- Click on the gear icon to open project settings.
- In the project settings, go to the “SDK SETUP” section.
- Click on “Security Headers”.
- Copy the automatically generated “REPORT URI” URL and paste it into the “CSP Report URI” field in the plugin settings. Example Sentry Report URI (e.g.,
https://<your_org>.sentry.io/api/<project_id>/security/?sentry_key=<key>
). - The plugin will initialize Sentry and send CSP reports to Sentry.
-
How can I configure URIports integration with the plugin?
-
- Log in to your Sentry dashboard.
- Click on the “User Icon” at the top right of your screen.
- Click “Settings”.
- Add the domains you want to monitor to the “Monitored Domains” section on the settings page.
- Click on “Security Headers”.
- Copy the automatically generated “URIports” URL and paste it into the “CSP Report URI” field in the plugin settings. Example URIports Report URI (e.g.,
https://account-subdomain.uriports.com/reports
). - The plugin will initialize URIports and send CSP reports to URIports.
-
Why did you choose to integrate with Sentry, URIports, Datadog, and Report URI?
-
I chose Sentry, URIports, Datadog, and Report URI for integration with this plugin because they are highly reputable and functional platforms in the field of security monitoring. Here’s a brief overview of each:
Sentry
Sentry is a well-known platform for monitoring and tracking errors and exceptions in applications. It provides comprehensive tools for logging and analyzing JavaScript errors, making it an excellent choice for monitoring Content Security Policy (CSP) violations. By integrating with Sentry, users can benefit from detailed error reports and proactive issue resolution.
Datadog
Datadog is a powerful platform for monitoring infrastructure, applications, and logs. It offers extensive capabilities for tracking security and performance metrics, including CSP violations. The integration with Datadog allows users to gain insights into the health and security of their websites, providing real-time monitoring and alerting features that are essential for maintaining a secure and performant environment.
Report URI
Report URI is a dedicated service for collecting and analyzing security violation reports, including CSP, HPKP, and other security headers. It is designed specifically to handle large volumes of security reports and provide detailed analytics and visualizations. By using Report URI, users can easily monitor and analyze CSP violations, helping them to quickly identify and mitigate potential security threats.
Each of these platforms offers unique strengths and capabilities, making them ideal choices for comprehensive security monitoring and reporting. By integrating with these well-established services, we aim to provide users with reliable and effective tools to enhance the security of their WordPress websites.
URIports
URIports is a well-known platform for monitoring and tracking errors and exceptions in applications. It provides comprehensive tools for logging and analyzing JavaScript errors, making it an excellent choice for monitoring Content Security Policy (CSP) violations. By integrating with URIports, users can benefit from detailed error reports and proactive issue resolution.
-
Can I view CSP reports directly in Sentry?
-
Yes, all CSP reports will be sent to Sentry, where you can view and analyze them in the Sentry control panel.
-
どうすれば A+ グレードを取得できますか ?
-
A+ グレードを獲得するには、サイトがすべての HTTP レスポンスヘッダーを発行し、チェックする必要があります。これは、訪問者のセキュリティを向上させるための高いレベルの取り組みを示しています。
-
おすすめのヘッダーは ?
-
HTTP 接続を介して、Content-Security-Policy、X-Content-Type-Options、X-Frame-Options、および X-XSS-Protection を取得します。HTTPS 接続を介して、Strict-Transport-Security と Public-Key-Pins の2つの追加ヘッダーの存在がチェックされます。
- プラグインが有効化されると、テストが実行されます (前後): https://securityheaders.com/
-
プラグインによって速度が低下することはありますか ?
-
いいえ、Headers Security Advanced & HSTS WP は高速で安全で、SEO や Web サイトの速度には影響しません。
-
HSTS (Strict Transport Security) とは何ですか ?
-
これは、サイトが HTTPS で実行されている場合にブラウザに安全な接続を強制的に使用させるソリューションとして作成されました。 Web サーバーに追加され、Strict-Transport-Security として応答ヘッダーに反映されるセキュリティヘッダーです。 HSTS は、次の異常に対処するため必要です。
-
Preload HSTSの使用前後のチェック
-
このステップは、ウェブサイトやドメインを承認済みの HSTS リストに送信するために重要です。このリストは Google が公式にまとめたもので、Chrome、Firefox、Opera、Safari、IE11、Edge で使用されています。サイトを公式の HSTS プリロードディレクトリに転送できます。 (‘https://hstspreload.org/’)
-
どのように HTTP Strict Transport Security (HSTS) を使用しますか
-
サイトで Preload HSTS を使用する場合は、アクティブ化する前にいくつかの要件があります。
- 有効な SSL 証明書を取得します。とにかくこれなしでは何もできません。
- すべての HTTP トラフィックを HTTPS にリダイレクトする必要があります (永続的な301リダイレクトを使用することをお勧めします)。これは、サイトを HTTPS のみにする必要があることを意味します。
- HTTPS ですべてのサブドメインも提供する必要があります。サブドメインがある場合は、SSL 証明書が必要になります。
ベースドメイン (例: example.com) の HSTS ヘッダーは既に構成されているため、プラグインを有効にするだけで済みます。
サイトの HSTS ステータスを確認したい場合は、ここで確認できます: https://hstspreload.org/
-
バグの報告や機能のリクエストはできますか ?
-
You can report bugs or request new features right support@tentacleplugins[dot]com
-
Google の広告技術である FLoC を無効にします
-
FLoC は、すべてのサイトでのユーザーアクティビティを監視し、その情報をブラウザーに保存し、機械学習を使用してユーザーを同様の関心を持つコホートに配置するメガトラッカーです。 このようにして、広告主は同様の関心を持つ人々のグループをターゲットにすることができます。さらに、Google 独自のテストによると、FLoC は Cookie よりも少なくとも95% 多いコンバージョンを達成しています。
-
FLoC by Google を無効にしているのはどうしてですか ?
-
Scott Helme は、5月3日の時点で、最初の100万のドメインのうち967が Permissions-Policy ヘッダーで FLoC の interest-cohort を無効にしていると報告しました。そのリストには、The Guardian や IKEA などのいくつかの大きなサイトが含まれていました。
-
CloudFlare と Headers Security Advanced & を使用できますか ? HSTS WP プラグイン ?
-
プラグインの更新後に異常が発生していますか ? はいの場合は、次の手順に従ってください : CloudFlare クライアントエリアのキャッシュを直接クリアします。
- Cloudflare ダッシュボードにログインし、アカウントとドメインを選択します。
- キャッシュ > 構成を選択します。
- 「キャッシュパージ」 で、「カスタムパージ」 を選択します。 カスタムパージウィンドウが表示されます。
- 「パージ方法」 で、「URL」 を選択します。
- 例に示されている形式を使用して、テキストフィールドに適切な値を入力します。
- 追加の指示に従ってフォームに記入します。
- 入力したデータを確認します。
- クリックして削除します。
これは、cloudFlare が原因です。
評価
貢献者と開発者
Headers Security Advanced & HSTS WP はオープンソースソフトウェアです。以下の人々がこのプラグインに貢献しています。
貢献者変更履歴
5.0.41
I don’t want to tell you what to do, but here’s the thing: When you update the Headers Security Advanced & HSTS WP plugin, you don’t just click a button, you enter a world of enhanced security and performance.
With version 5.0.41, I have gone above and beyond to ensure that your experience is nothing short of exceptional. I have eliminated numerous bugs, improved annoying pixels, and updated the graphics in a sleek and modern way. The result? A plugin that not only looks great, but works even better.
But that’s not all. This update brings seamless integration with the industry’s leading security monitoring platforms-Sentry, Datadog, and Report URI. These integrations offer enhanced reporting capabilities, providing detailed information on content security policy (CSP) violations and improving site security.
- Preparation: Coming in the next updates is a new interface optimized to the smallest detail;
- Preparation: New structure to prepare the plugin for optimized HSTS;
- Fixed: Fixed a critical error that occurred when enabling the “Enable preload” option due to an invalid string format in the printf function . The error generated an “Unknown format specifier” message. Now the string contains the correct format specifiers (%s), preventing further crashes;
By updating to 5.0.41, you’re not just improving your site’s security – you’re optimizing it with the best tools available. Our goal is to provide you with the most beautiful, fastest, and most impressive plugin experience around. So, shall we get started? Hit “update” and step into a new era of security and performance with Headers Security Advanced & HSTS WP. Enjoy the upgrade!