Personal Blog of

Minhazul Asif

Personal Blog of

Minhazul Asif

ওয়েবসাইটে HTTP Security Headers কি এবং কেন প্রয়োজন? কিভাবে একটি HTTP Security Headers কনফিগার করা যায়?

HTTP Security Headers কি?

ওয়েবসাইটে HTTP Security Headers কি এবং কেন প্রয়োজন?


HTTP Headers Security হল ওয়েবসাইটের নিরাপত্তার একটি গুরুত্বপূর্ণ অংশ। যখন একজন ওয়েবসাইট ব্যবহারকারী একটি Page অ্যাক্সেস করার চেষ্টা করে, তখন তার ব্রাউজার এটি একটি ওয়েব সার্ভার কে রিকোয়েস্ট পাঠায়। সার্ভার তারপর মেটা ডেটা, স্ট্যাটাস error কোড, cache rules ইত্যাদি ধারণ করে উপযুক্ত HTTP Response Headers এর মাধ্যমে Response করে। HTTP Security Headers ব্রাউজার কে বোঝায় আসলে কিভাবে সে ওয়েবসাইটটি দেখাবে।

Header Security না থাকলে আমাদের ওয়েবসাইট যেকোনো ধরনের অ্যাটাকের সম্মুখীন হতে পারে। এই শিরোনামগুলি XSS, কোড ইনজেকশন, ক্লিকজ্যাকিং ইত্যাদি থেকে রক্ষা করে। যেমন XSS, code injection, clickjacking অ্যাটাক।

HTTP Headers Security বলতে নিচের সিকিউরিটি কে বোঝায়:

● Cross Site Scripting Protection (X-XSS)
● Content Security Policy (CSP)
● Browser Sniffing Protection (X-Content-Type-Options)
● Clickjacking Prevention (X-Frame-Options)
● HTTP Strict Transport Security (HSTS)
● HTTP Public Key Pinning (HPKP)
● Referring Settings (Referrer-Policy)
● Cookie Settings (Set-Cookie)

 

HTTP Headers Security চেক করার জন্য আমরা নিজের টুলগুলো ব্যবহার করতে পারি:

 

● Check HTTP Security Headers: www.securityheaders.com
● Check HTTP Strict Transport Security / HSTS: www.hstspreload.org
● Check WebPageTest: www.webpagetest.org
● Check HSTS test website: https://gf.dev/hsts-test

 

● Check website header security status: https://securityheaders.com/

 

HTTP Headers Security

 

Headers Security Advanced প্লাগিন এর মাধ্যমে কিভাবে একটি ওয়ার্ডপ্রেস ওয়েবসাইটে HTTP Security Headers কনফিগার করা যায়?

 


● Plugin: Headers Security Advanced Plugin: https://wordpress.org/plugins/headers-security-advanced-hsts-wp/

● Headers Security Advanced & HSTS WP প্লাগিনটি OWASP CSRF এর উপর Base করে তৈরি করা। একবার প্লাগইন ইনস্টল হয়ে গেলে, এটি সম্পূর্ণ CSRF mitigation প্রদান করে থাকে। এবং অন্যান্য Vulnerable প্লাগইন থাকলেও ওয়েবসাইটের সিকিউরিটি প্রদান করে এই প্লাগইনটি।

এই plug-in টির মধ্যে FLoC (Federated Learning of Cohorts) ইন্ট্রিগেশন করা থাকায় ব্রাউজার কে cohort calculation” on FLoC (Federated Learning of Cohorts) এ ওয়েবসাইটটিকে ইনক্লুড করতে বাধা দেয়।

এছাড়াও প্লাগিনটি তে HSTS (HTTP Strict Transport Security) ইনক্লুডেড রয়েছে যা protocol downgrade attack and কুকি হাইজাকিং থেকে রক্ষা করে।

Headers Security Advanced প্লাগিন

 

Headers Security Advanced প্লাগিন ফিচার:

 

এই প্লাগিনটি আমাদের নিম্নোক্ত ফিচারগুলো দিয়ে থাকে:

● HSA Limit Login to block brute force attacks.
● X-XSS-Protection
● Expect-CT
● Access-Control-Allow-Origin
● Access-Control-Allow-Methods
● Access-Control-Allow-Headers
● X-Content-Security-Policy
● X-Content-Type-Options
● X-Frame-Options
● X-Permitted-Cross-Domain-Policies
● X-Powered-By
● Content-Security-Policy
● Referrer-Policy
● HTTP Strict Transport Security / HSTS
● Content-Security-Policy
● Clear-Site-Data
● Cross-Origin-Embedder-Policy-Report-Only
● Cross-Origin-Opener-Policy-Report-Only
● Cross-Origin-Embedder-Policy
● Cross-Origin-Opener-Policy
● Cross-Origin-Resource-Policy
● Permissions-Policy
● Strict-dynamic
● Strict-Transport-Security
● FLoC (Federated Learning of Cohorts)

 

Headers Security Advanced Plugin Install & Configure:

 

● Install the plugin: https://wordpress.org/plugins/headers-security-advanced-hsts-wp/
● WordPress Dashboard > Settings > Headers Security Advanced & HSTS WP

Headers Security Advanced Plugin Install & Configure:

 

অথবা ম্যানুয়ালি Root .htaccess এর ভেতরে আমরা নিচের কোডগুলো পুশ করতে পারি:

 

# Headers Security Advanced & HSTS WP – 5.0.02
<IfModule mod_headers.c>
Header always set Strict-Transport-Security “max-age=63072000; includeSubDomains; preload”
Header always set X-XSS-Protection “1; mode=block”
Header always set X-Content-Type-Options “nosniff”
Header always set Referrer-Policy “strict-origin-when-cross-origin”
Header always set Expect-CT “max-age=7776000, enforce”
Header set Access-Control-Allow-Origin “null”
Header set Access-Control-Allow-Methods “GET,PUT,POST,DELETE”
Header set Access-Control-Allow-Headers “Content-Type, Authorization”
Header set X-Content-Security-Policy “img-src *; media-src * data:;”
Header always set Content-Security-Policy “report-uri https://malware.freelancersanin.com”
Header set Cross-Origin-Embedder-Policy-Report-Only ‘unsafe-none; report-to=”default”‘
Header set Cross-Origin-Embedder-Policy ‘unsafe-none; report-to=”default”‘
Header set Cross-Origin-Opener-Policy-Report-Only ‘same-origin; report-to=”default”‘
Header set Cross-Origin-Opener-Policy ‘same-origin; report-to=”default”‘
Header set Cross-Origin-Resource-Policy ‘cross-origin’
Header always set X-Frame-Options “SAMEORIGIN”
Header always set Permissions-Policy “geolocation=(self), microphone=(), accelerometer=(), gyroscope=(), magnetometer=()”
Header set X-Permitted-Cross-Domain-Policies “none”
</IfModule>
# END Headers Security Advanced & HSTS WP

 

● Now Check website header security status: https://securityheaders.com/

 

এভাবে সহজে আমরা যেকোন একটি ওয়ার্ডপ্রেস ওয়েবসাইটে HTTP Security Headers কনফিগার করতে পারি।

Read more wordpress security and ethical hacking blogs from here.

 

Thanks
Minhazul Asif

Share on -

Related Articles

Minhazul Asif

আমি মিনহাজুল আসিফ,

Entrepreneur, Instructor, Web Developer, Freelancer & Cyber Sucurity Expert.

নিজের আইডিয়া গুলো সবার সাথে শেয়ার করার জন্য এই ব্লগ ওয়েবসাইট তৈরী করা। আশা করি আমার ব্লগ পড়ে অনেকেই উপকৃত হবে।

ক্যাটাগরি সমূহ: