自动配置Http Header插件Headers Security Advanced & HSTS WP

最近试用了一款全自动配置WordPress Http Header的插件『Headers Security Advanced & HSTS WP』，体验很好，最爱这种无需任何操作，全自动配置，且有效果的插件。

如果说提升WordPress，或者其他类型的网站的安全性，成本最低的方案，就是配置好Http Header。至于原理，其实没必要深研究，简单了解了。

Http Header最大的作用，并不是保护我们的服务器端，而是保护客户端。可以控制浏览器加载哪些内容、使用哪些资源、不加载哪些内容、不使用哪些资源，尤其是当服务器端被黑了后，可以极大地保护客户端的安全，配置好Http Header是对你的读者负责。

Also note that security headers are to provide security to your website visitors, NOT your web-server or your website. To secure your web-server or website, you’d be doing other things (like server firewalls or WordPress application security).

What are HTTP headers? (and why they’re useful) (wpjohnny.com)

这款插件还可以修改后台登录链接wp-admin为其他内容，还不错。

开启后，去 SecurityHeaders 测试一下，效果确实好。

Http Header的重要性，可以参考如下文章。

What are HTTP headers? (and why they’re useful)

Guide to Security Headers

存在的问题

1.会自动开启修改登录页面的功能。

2.无法登录后台，提示浏览器未开启cookies，需要进一步测试，建议做好备份。

3.如果服务器已经设置了部分http header，该插件自动生成的http header，那么去检测，就会提示有两个同样类型的http header。