Garantir que a segurança do seu site WordPress está corretamente configurada é muito importante, especialmente para a proteção contra hackers. Existem vários métodos diferentes e práticas de segurança do WordPress que pode usar para proteger o seu site. Se o seu site WordPress funciona com HTTPS, recomendamos usar os cabeçalhos de segurança HSTS, já que isso pode ajudar a prevenir ataques “man-in-the-middle” (MITM) e a apropriação de cookies.

O Que É o HSTS (Segurança Restrita de Transporte)?

HSTS significa HTTP Strict Transport Security e está especificado no IETF no documento RFC 6797 de 2012. Foi criado para forçar o navegador a utilizar conexões de proteção quando um site está sendo executado em HTTPS. Essa é um elemento de segurança adicionado ao seu servidor web e é refletido na resposta da Segurança Restrita de Transporte. O HSTS é importante porque aborda as seguintes questões:

  • Qualquer tentativa de os visitantes utilizarem uma versão não segura (HTTP://) de uma página do seu site será automaticamente transferido para a versão segura (HTTPS://).
  • Os favoritos HTTP e as pessoas que digitam a versão HTTP do seu site ficam suscetíveis a ataques “man-in-the-middle”. É aqui que o agressor manipula a comunicação entre as partes e as faz acreditar que estão comunicando entre si.
  • Não permissão do anulamento da mensagem de certificado inválido o que, por sua vez, protege o
  • Apropriação de cookies: isso pode ocorrer quando alguém rouba um cookie de sessão em uma conexão não segura. Os cookies podem conter todos os tipos de informação, como informações de cartão de crédito, nomes, endereços, etc.

Como Adicionar HSTS ao Seu Site WordPress

Tecnicamente, pode adicionar HSTS ao próprio servidor web, sendo depois aplicado a solicitações HTTP no seu site WordPress. Normalmente, um redirecionamento 301 é adicionado em seguida a um redirecionamento de HTTP para HTTPS. O Google oficialmente diz que você pode usar os redirecionamentos de servidor 301 e o cabeçalho HSTS em conjunto.

Apesar de os nossos sistemas preferirem por padrão a versão HTTPS, você também pode tornar as coisas mais claras para outros motores de busca ao fazer o redirecionamento do seu site HTTP para a versão HTTPS e implementando o cabeçalho HSTS no seu servidor. Zineb Ait Bahajji, equipe de segurança do Google

Existem diferentes tipos de diretrizes ou níveis de segurança que podem ser aplicados ao cabeçalho HSTS. Abaixo você tem a diretiva mais básica que usa a diretiva de idade máxima. Define o tempo em segundos para que o servidor apresente apenas a página através do HTTPS.

Ativar HSTS no Apache

Adicione o seguinte código ao seu arquivo virtual de hosts.

Header always set Strict-Transport-Security max-age=31536000

Ativar HSTS no NGINX

Adicione o seguinte código à sua configuração NGINX.

add_header Strict-Transport-Security "max-age=31536000";

Se é um cliente da Kinsta e quer adicionar o cabeçalho HSTS ao seu site WordPress, pode abrir um ticket de suporte e podemos adicioná-lo rapidamente. Na verdade, existem vantagens de desempenho com a adição do cabeçalho. Se alguém tentar visitar seu site via HTTP, em vez de fazer uma consulta HTTP, é simplesmente redirecionado para a versão HTTPS.

Pré-carregamento HSTS

Existe também o pré-carregamento HSTS. Basicamente, isso tem que ver com adicionar o seu site e/ou domínio em uma lista HSTS aprovada, que é eficazmente integrada no navegador. O Google compila oficialmente essa lista e ela é usado pelo Chrome, Firefox, Opera, Safari, IE11 e Edge. Submeta o seu site para a lista oficial de pré-carregamento HSTS

Pré-carregamento HSTS
Pré-carregamento HSTS

Contudo, deverá satisfazer requisitos adicionais para ser elegível.

  1. O servidor deve ter um Certificado SSL/TLS válido (TLS vs SSL: Qual é a diferença?).
  2. Redirecionar todo o tráfego para o HTTPS.
  3. Apresentar o HSTS com base em um domínio.
  4. Apresentar os subdomínios em HTTPS, incluindo o subdomínio www, se existir.
  5. A expiração deve ter pelo menos 1 ano (31536000 segundos)
  6. A diretiva do token includeSubdomains deve ser especificada
  7. A diretiva do token pré-carregado deve ser especificada.

Para fazer isso, adicione subdomínios e diretivas de pré-carregamento ao seu cabeçalho HSTS. Eis um exemplo de um cabeçalho HSTS atualizado.

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

Aviso: Pode ser difícil e moroso retirar seu domínio da lista de pré-carregamento, garanta que utilizará o HTTPS a longo prazo.

Verifique o Cabeçalho HSTS

Existem alguns métodos simples para verificar se o HSTS funciona no seu site WordPress. Pode abrir o Google Chrome Devtools, clique no separador “Rede” e consulte o separador cabeçalhos. Como pode ver abaixo no nosso site da Kinsta, o valor HSTS: “strict-transport-security: max-age=31536000” é aplicado.

resposta http de segurança de transporte rigorosa

Também pode analisar seu site WordPress com um ferramenta online gratuita como a securityheaders.io que irá dizer para você se o cabeçalho de segurança restrita de transporte está sendo aplicado ou não.

cabeçalhos de segurança de varredura

Suporte para HSTS dependendo dos navegadores

De acordo com a Caniuse, o suporte para HSTS por parte dos navegadores é muito forte (mais de 80% globalmente e mais de 95% nos Estados Unidos). O suporte para HSTS no IE11 foi adicionado em 2015 e atualmente o único navegador moderno que não oferece suporte é o Opera Mini.

suporte ao navegador hsts

Recomendamos também ler esse artigo de Tim Kadlec sobre o HSTS e Let’s Encrypt.

Impacto da HSTS no SEO

Após o seu site ter sido aprovado e incluído na lista de pré-carregamento HSTS; você poder encontrar avisos da Google Search Console ou de outras ferramentas de SEO de terceiros, referindo redirecionamentos 307. Isso acontece porque, quando alguém tenta visitar seu site via HTTP, ocorre um redirecionamento 307 em vez de um redirecionamento 301 (como visto abaixo).

HSTS – Segurança Restrita de Transporte – Redirecionamento 307
HSTS – Segurança Restrita de Transporte – Redirecionamento 307

Normalmente, um redirecionamento 307 é apenas utilizado para redirecionamentos temporários. Um redirecionamento 301 é utilizado para URLs que foram movidas de forma permanente. Será que deveria usar um redirecionamento 301? E existe alguma consequência disso no SEO?

Bem, na verdade, um redirecionamento 301 está sempre presente nos bastidores. O redirecionamento 307 está no nível do navegador e não no nível servidor. Você pode correr o site através de uma ferramenta que verifica o redirecionamento no servidor, como o httpstatus e verá que um redirecionamento 301 ainda está sendo executando. Por isso, não precisa de se preocupar com o impacto do cabeçalho HSTS no seu SEO.

Redirecionamento 301 do HSTS
Redirecionamento 301 do HSTS