ওয়েবসাইটে HTTP Security Headers কি এবং কেন প্রয়োজন?
HTTP Headers Security হল ওয়েবসাইটের নিরাপত্তার একটি গুরুত্বপূর্ণ অংশ। যখন একজন ওয়েবসাইট ব্যবহারকারী একটি Page অ্যাক্সেস করার চেষ্টা করে, তখন তার ব্রাউজার এটি একটি ওয়েব সার্ভার কে রিকোয়েস্ট পাঠায়। সার্ভার তারপর মেটা ডেটা, স্ট্যাটাস error কোড, cache rules ইত্যাদি ধারণ করে উপযুক্ত HTTP Response Headers এর মাধ্যমে Response করে। HTTP Security Headers ব্রাউজার কে বোঝায় আসলে কিভাবে সে ওয়েবসাইটটি দেখাবে।
Header Security না থাকলে আমাদের ওয়েবসাইট যেকোনো ধরনের অ্যাটাকের সম্মুখীন হতে পারে। এই শিরোনামগুলি XSS, কোড ইনজেকশন, ক্লিকজ্যাকিং ইত্যাদি থেকে রক্ষা করে। যেমন XSS, code injection, clickjacking অ্যাটাক।
HTTP Headers Security বলতে নিচের সিকিউরিটি কে বোঝায়:
● Cross Site Scripting Protection (X-XSS)
● Content Security Policy (CSP)
● Browser Sniffing Protection (X-Content-Type-Options)
● Clickjacking Prevention (X-Frame-Options)
● HTTP Strict Transport Security (HSTS)
● HTTP Public Key Pinning (HPKP)
● Referring Settings (Referrer-Policy)
● Cookie Settings (Set-Cookie)
HTTP Headers Security চেক করার জন্য আমরা নিজের টুলগুলো ব্যবহার করতে পারি:
● Check HTTP Security Headers: www.securityheaders.com
● Check HTTP Strict Transport Security / HSTS: www.hstspreload.org
● Check WebPageTest: www.webpagetest.org
● Check HSTS test website: https://gf.dev/hsts-test
● Check website header security status: https://securityheaders.com/
Headers Security Advanced প্লাগিন এর মাধ্যমে কিভাবে একটি ওয়ার্ডপ্রেস ওয়েবসাইটে HTTP Security Headers কনফিগার করা যায়?
● Plugin: Headers Security Advanced Plugin: https://wordpress.org/plugins/headers-security-advanced-hsts-wp/
● Headers Security Advanced & HSTS WP প্লাগিনটি OWASP CSRF এর উপর Base করে তৈরি করা। একবার প্লাগইন ইনস্টল হয়ে গেলে, এটি সম্পূর্ণ CSRF mitigation প্রদান করে থাকে। এবং অন্যান্য Vulnerable প্লাগইন থাকলেও ওয়েবসাইটের সিকিউরিটি প্রদান করে এই প্লাগইনটি।
এই plug-in টির মধ্যে FLoC (Federated Learning of Cohorts) ইন্ট্রিগেশন করা থাকায় ব্রাউজার কে cohort calculation” on FLoC (Federated Learning of Cohorts) এ ওয়েবসাইটটিকে ইনক্লুড করতে বাধা দেয়।
এছাড়াও প্লাগিনটি তে HSTS (HTTP Strict Transport Security) ইনক্লুডেড রয়েছে যা protocol downgrade attack and কুকি হাইজাকিং থেকে রক্ষা করে।
Headers Security Advanced প্লাগিন ফিচার:
এই প্লাগিনটি আমাদের নিম্নোক্ত ফিচারগুলো দিয়ে থাকে:
● HSA Limit Login to block brute force attacks.
● X-XSS-Protection
● Expect-CT
● Access-Control-Allow-Origin
● Access-Control-Allow-Methods
● Access-Control-Allow-Headers
● X-Content-Security-Policy
● X-Content-Type-Options
● X-Frame-Options
● X-Permitted-Cross-Domain-Policies
● X-Powered-By
● Content-Security-Policy
● Referrer-Policy
● HTTP Strict Transport Security / HSTS
● Content-Security-Policy
● Clear-Site-Data
● Cross-Origin-Embedder-Policy-Report-Only
● Cross-Origin-Opener-Policy-Report-Only
● Cross-Origin-Embedder-Policy
● Cross-Origin-Opener-Policy
● Cross-Origin-Resource-Policy
● Permissions-Policy
● Strict-dynamic
● Strict-Transport-Security
● FLoC (Federated Learning of Cohorts)
Headers Security Advanced Plugin Install & Configure:
● Install the plugin: https://wordpress.org/plugins/headers-security-advanced-hsts-wp/
● WordPress Dashboard > Settings > Headers Security Advanced & HSTS WP
অথবা ম্যানুয়ালি Root .htaccess এর ভেতরে আমরা নিচের কোডগুলো পুশ করতে পারি:
# Headers Security Advanced & HSTS WP – 5.0.02
<IfModule mod_headers.c>
Header always set Strict-Transport-Security “max-age=63072000; includeSubDomains; preload”
Header always set X-XSS-Protection “1; mode=block”
Header always set X-Content-Type-Options “nosniff”
Header always set Referrer-Policy “strict-origin-when-cross-origin”
Header always set Expect-CT “max-age=7776000, enforce”
Header set Access-Control-Allow-Origin “null”
Header set Access-Control-Allow-Methods “GET,PUT,POST,DELETE”
Header set Access-Control-Allow-Headers “Content-Type, Authorization”
Header set X-Content-Security-Policy “img-src *; media-src * data:;”
Header always set Content-Security-Policy “report-uri https://malware.freelancersanin.com”
Header set Cross-Origin-Embedder-Policy-Report-Only ‘unsafe-none; report-to=”default”‘
Header set Cross-Origin-Embedder-Policy ‘unsafe-none; report-to=”default”‘
Header set Cross-Origin-Opener-Policy-Report-Only ‘same-origin; report-to=”default”‘
Header set Cross-Origin-Opener-Policy ‘same-origin; report-to=”default”‘
Header set Cross-Origin-Resource-Policy ‘cross-origin’
Header always set X-Frame-Options “SAMEORIGIN”
Header always set Permissions-Policy “geolocation=(self), microphone=(), accelerometer=(), gyroscope=(), magnetometer=()”
Header set X-Permitted-Cross-Domain-Policies “none”
</IfModule>
# END Headers Security Advanced & HSTS WP
● Now Check website header security status: https://securityheaders.com/
এভাবে সহজে আমরা যেকোন একটি ওয়ার্ডপ্রেস ওয়েবসাইটে HTTP Security Headers কনফিগার করতে পারি।
Thanks
3 thoughts on “ওয়েবসাইটে HTTP Security Headers কি এবং কেন প্রয়োজন? কিভাবে একটি HTTP Security Headers কনফিগার করা যায়?”
Great Post.
Thank you.
পোস্টটি পড়ে বোধ হয়েছে যে HTTP Headers Security ওয়েবসাইটের নিরাপত্তা বাড়ানোর একটি অত্যন্ত গুরুত্বপূর্ণ অংশ। এটি বিভিন্ন প্রকার অ্যাটাক যেমন: XSS, code injection এবং clickjacking থেকে ওয়েবসাইটটি সুরক্ষিত রাখতে সাহায্য করে। পোস্টটি সবিস্তারে বর্ণনা করেছে কিভাবে Headers Security Advanced প্লাগিন ব্যবহার করে ওয়ার্ডপ্রেস ওয়েবসাইটে সিকিউরিটি হেডারগুলি সেট করা যায়। যারা ওয়েবসাইটের সিকিউরিটি নিয়ে চিন্তিত, তাদের জন্য এই পোস্টটি অত্যন্ত উপকারী হবে। ধন্যবাদ, এই মৌলিক তথ্য প্রদান করার জন্য।
ধন্যবাদ…/