尝试解决网站安全分预加载HSTS

网站安全分预加载HSTS，这个问题困扰挺长时间，测试了不少检测工具，安全分一直很低，今天想折腾把网站速度提升下，因为用着sitegroud有待Cloudflarecdn的，不过必须打开www比较烦人。最后换了插件完美解决，测试结果A+。 那就试试吧，不过没折腾好，要么提示证书或者重定向多次，算了还是撤回。 还是回归检测分主题的安全项,添加后安全是安全些，以下是几个测试的截图。  

预加载HSTS问题

解决网站安全分预加载HSTS

• 使用 Sucuri 添加 HTTP 安全标头
• 使用 Cloudflare 添加 HTTP 安全标头
• 使用 .htaccess 添加 HTTP 安全标头
• 使用 WordPress 插件添加 HTTP 安全标头

测试 HTTP 安全标头

Wpbeginner 添加HSTS方法

<ifModule mod_headers.c> 
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS 
Header set X-XSS-Protection "1; mode=block" Header set X-Content-Type-Options nosniff 
Header set X-Frame-Options DENY 
Header set Referrer-Policy: no-referrer-when-downgrade </ifModule>

Thomasgriffin 添加HSTS方法

/** * Enables the HTTP Strict Transport Security (HSTS) header in WordPress. */ 
function tg_enable_strict_transport_security_hsts_header_wordpress() 
{ header( 'Strict-Transport-Security: max-age=10886400' ); } 
add_action( 'send_headers', 'tg_enable_strict_transport_security_hsts_header_wordpress' );

.htaccess 添加HSTS方法

<ifModule mod_headers.c> 
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS 
Header set X-XSS-Protection "1; mode=block" 
Header set X-Content-Type-Options nosniff 
Header set X-Frame-Options DENY 
Header set Referrer-Policy: no-referrer-when-downgrade 
</ifModule>

使用Headers Security Advanced & HSTS WP插件解决HSTS预加载

自定义您的 wp-admin 网址！ 在Permalinks > Optional -> Security URL 中设置您的自定义登录URL。 重要提示：写下您的新网址！ 常规的 wp-admin 目录和 wp-login.php 页面将不再起作用！ 如果您不记得您的自定义 url，请通过 FTP 重命名插件目录以停用它。

查看HSTS预加载情况

• 在securityheaders.com上检查 HTTP 安全标头，这个能直接查到评级，更方便查看。
• 在hstspreload.org检查 HTTP 严格传输安全/HSTS ，这个需要提交到列表。

参考链接