ওয়েবসাইটে HTTP Security Headers কি এবং কেন প্রয়োজন? কিভাবে একটি HTTP Security Headers কনফিগার করা যায়?

ওয়েবসাইটে HTTP Security Headers কি এবং কেন প্রয়োজন? কিভাবে একটি HTTP Security Headers কনফিগার করা যায়?

ওয়েবসাইটে HTTP Security Headers কি এবং কেন প্রয়োজন?


HTTP Headers Security হল ওয়েবসাইটের নিরাপত্তার একটি গুরুত্বপূর্ণ অংশ। যখন একজন ওয়েবসাইট ব্যবহারকারী একটি Page অ্যাক্সেস করার চেষ্টা করে, তখন তার ব্রাউজার এটি একটি ওয়েব সার্ভার কে রিকোয়েস্ট পাঠায়। সার্ভার তারপর মেটা ডেটা, স্ট্যাটাস error কোড, cache rules ইত্যাদি ধারণ করে উপযুক্ত HTTP Response Headers এর মাধ্যমে Response করে। HTTP Security Headers ব্রাউজার কে বোঝায় আসলে কিভাবে সে ওয়েবসাইটটি দেখাবে।

Header Security না থাকলে আমাদের ওয়েবসাইট যেকোনো ধরনের অ্যাটাকের সম্মুখীন হতে পারে। এই শিরোনামগুলি XSS, কোড ইনজেকশন, ক্লিকজ্যাকিং ইত্যাদি থেকে রক্ষা করে। যেমন XSS, code injection, clickjacking অ্যাটাক।

HTTP Headers Security বলতে নিচের সিকিউরিটি কে বোঝায়:

● Cross Site Scripting Protection (X-XSS)
● Content Security Policy (CSP)
● Browser Sniffing Protection (X-Content-Type-Options)
● Clickjacking Prevention (X-Frame-Options)
● HTTP Strict Transport Security (HSTS)
● HTTP Public Key Pinning (HPKP)
● Referring Settings (Referrer-Policy)
● Cookie Settings (Set-Cookie)

 

HTTP Headers Security চেক করার জন্য আমরা নিজের টুলগুলো ব্যবহার করতে পারি:

 

● Check HTTP Security Headers: www.securityheaders.com
● Check HTTP Strict Transport Security / HSTS: www.hstspreload.org
● Check WebPageTest: www.webpagetest.org
● Check HSTS test website: https://gf.dev/hsts-test

 

● Check website header security status: https://securityheaders.com/

 

HTTP Headers Security

 

Headers Security Advanced প্লাগিন এর মাধ্যমে কিভাবে একটি ওয়ার্ডপ্রেস ওয়েবসাইটে HTTP Security Headers কনফিগার করা যায়?

● Plugin: Headers Security Advanced Plugin: https://wordpress.org/plugins/headers-security-advanced-hsts-wp/

● Headers Security Advanced & HSTS WP প্লাগিনটি OWASP CSRF এর উপর Base করে তৈরি করা। একবার প্লাগইন ইনস্টল হয়ে গেলে, এটি সম্পূর্ণ CSRF mitigation প্রদান করে থাকে। এবং অন্যান্য Vulnerable প্লাগইন থাকলেও ওয়েবসাইটের সিকিউরিটি প্রদান করে এই প্লাগইনটি।

এই plug-in টির মধ্যে FLoC (Federated Learning of Cohorts) ইন্ট্রিগেশন করা থাকায় ব্রাউজার কে cohort calculation” on FLoC (Federated Learning of Cohorts) এ ওয়েবসাইটটিকে ইনক্লুড করতে বাধা দেয়।

এছাড়াও প্লাগিনটি তে HSTS (HTTP Strict Transport Security) ইনক্লুডেড রয়েছে যা protocol downgrade attack and কুকি হাইজাকিং থেকে রক্ষা করে।

Headers Security Advanced প্লাগিন

 

Headers Security Advanced প্লাগিন ফিচার:

 

এই প্লাগিনটি আমাদের নিম্নোক্ত ফিচারগুলো দিয়ে থাকে:

● HSA Limit Login to block brute force attacks.
● X-XSS-Protection
● Expect-CT
● Access-Control-Allow-Origin
● Access-Control-Allow-Methods
● Access-Control-Allow-Headers
● X-Content-Security-Policy
● X-Content-Type-Options
● X-Frame-Options
● X-Permitted-Cross-Domain-Policies
● X-Powered-By
● Content-Security-Policy
● Referrer-Policy
● HTTP Strict Transport Security / HSTS
● Content-Security-Policy
● Clear-Site-Data
● Cross-Origin-Embedder-Policy-Report-Only
● Cross-Origin-Opener-Policy-Report-Only
● Cross-Origin-Embedder-Policy
● Cross-Origin-Opener-Policy
● Cross-Origin-Resource-Policy
● Permissions-Policy
● Strict-dynamic
● Strict-Transport-Security
● FLoC (Federated Learning of Cohorts)

 

Headers Security Advanced Plugin Install & Configure:

 

● Install the plugin: https://wordpress.org/plugins/headers-security-advanced-hsts-wp/
● WordPress Dashboard > Settings > Headers Security Advanced & HSTS WP

Headers Security Advanced Plugin Install & Configure:

 

অথবা ম্যানুয়ালি Root .htaccess এর ভেতরে আমরা নিচের কোডগুলো পুশ করতে পারি:

 

# Headers Security Advanced & HSTS WP – 5.0.02
<IfModule mod_headers.c>
Header always set Strict-Transport-Security “max-age=63072000; includeSubDomains; preload”
Header always set X-XSS-Protection “1; mode=block”
Header always set X-Content-Type-Options “nosniff”
Header always set Referrer-Policy “strict-origin-when-cross-origin”
Header always set Expect-CT “max-age=7776000, enforce”
Header set Access-Control-Allow-Origin “null”
Header set Access-Control-Allow-Methods “GET,PUT,POST,DELETE”
Header set Access-Control-Allow-Headers “Content-Type, Authorization”
Header set X-Content-Security-Policy “img-src *; media-src * data:;”
Header always set Content-Security-Policy “report-uri https://malware.freelancersanin.com”
Header set Cross-Origin-Embedder-Policy-Report-Only ‘unsafe-none; report-to=”default”‘
Header set Cross-Origin-Embedder-Policy ‘unsafe-none; report-to=”default”‘
Header set Cross-Origin-Opener-Policy-Report-Only ‘same-origin; report-to=”default”‘
Header set Cross-Origin-Opener-Policy ‘same-origin; report-to=”default”‘
Header set Cross-Origin-Resource-Policy ‘cross-origin’
Header always set X-Frame-Options “SAMEORIGIN”
Header always set Permissions-Policy “geolocation=(self), microphone=(), accelerometer=(), gyroscope=(), magnetometer=()”
Header set X-Permitted-Cross-Domain-Policies “none”
</IfModule>
# END Headers Security Advanced & HSTS WP

 

● Now Check website header security status: https://securityheaders.com/

 

HTTP Security Headers কি, ওয়েবসাইটে HTTP Security Headers কি এবং কেন প্রয়োজন? কিভাবে একটি HTTP Security Headers কনফিগার করা যায়?

এভাবে সহজে আমরা যেকোন একটি ওয়ার্ডপ্রেস ওয়েবসাইটে HTTP Security Headers কনফিগার করতে পারি।

Read more wordpress security and ethical hacking blogs from here.

 

Thanks
Minhazul Asif

19 Responses

  1. Fine info. With thanks!
    mexican pharmacy online no prescription [url=https://canadadrugspower.com/]canadian pharmacies without an rx[/url] canadian pharmacies online

  2. You actually explained it adequately!
    buy cialis online canada pharmacy [url=https://canadianonlinepharmacybase.com/]canadian pharmacy chains[/url] legitimate online pharmacy uk

  3. You made your position extremely clearly!.
    planet pharmacy canada [url=https://canadapharmacies-24h.com/]canadian pharmacy on line[/url] what are the store hours for cvs pharmacy

  4. Wonderful facts. With thanks.
    canadian drug companies [url=https://canadapharmacies-24h.com/]best canadian pharmacy no prescription[/url] pharmacy in canada salary

  5. Awesome advice. Many thanks!
    prescription drugs database [url=https://canadianpharmaceuticalsonlineus.com/]medplus pharmacy store locator[/url] u.s online pharmacy

Leave a Reply

Your email address will not be published. Required fields are marked *