Tóm tắt nhanh
- Security headers là HTTP response headers bảo vệ browser chặn tấn công ở level
- 6 headers quan trọng: CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy
- Có thể cấu hình qua plugin (Headers Security Advanced HSTS WP) hoặc file .htaccess
- Không tốn phí, không cần bảo trì sau khi cấu hình đúng
Security headers là gì?
Security headers là các HTTP response headers mà server gửi kèm mỗi trang web — chúng bảo browser biết website có tin tưởng các nguồn khác không, có cho phép nhúng iframe không…
Khác với plugin bảo mật chạy trên WordPress, security headers hoạt động ở level browser — trước khi any malicious script có cơ hội chạy. Đây là “low-effort, high-impact” — cấu hình once, không cần bảo trì.
Bạn có biết WordPress được xếp hạng C hoặc D trên securityheaders.com không? Nguyên nhân là thiếu security headers. Với vài dòng code, bạn có thể đạt A+ [1].
6 Headers quan trọng nhất
Đây là 6 headers cốt lõi cho WordPress:
| Header | Chức năng | Mức độ quan trọng |
|---|---|---|
| Content-Security-Policy (CSP) | Chặn XSS bằng cách kiểm soát nguồn load scripts | Rất quan trọng |
| Strict-Transport-Security (HSTS) | Buộc HTTPS, chặn downgrade attack | Rất quan trọng |
| X-Frame-Options | Chặn clickjacking, không cho nhúng trang trong iframe | Quan trọng |
| X-Content-Type-Options | Chặn MIME sniffing | Quan trọng |
| Referrer-Policy | Kiểm soát thông tin referrer | Trung bình |
| Permissions-Policy | Chặn trình duyệt dùng camera, microphone… | Trung bình |
1. Content-Security-Policy (CSP)
CSP là header mạnh nhất — nó kiểm soát trình duyệt có load scripts từ đâu. Cấu hình đúng sẽ chặn 90% XSS attacks.
2. Strict-Transport-Security (HSTS)
HSTS bảo browser CHỈ connect qua HTTPS — không bao giờ qua HTTP. Có thể include subdomains và preload [2].
3. X-Frame-Options
Chặn website bị nhúng trong iframe trên site khác — ngăn clickjacking attack. DENY hoặc SAMEORIGIN.
4. X-Content-Type-Options
Buộc browser interpret MIME đúng như server gửi — chặn MIME confusion attack. Chỉ cần “nosniff”.
Cấu hình qua Plugin
Plugin dễ nhất: Headers Security Advanced & HSTS WP (miễn phí):
- Plugins > Add New > Tìm “Headers Security Advanced HSTS WP” > Cài đặt > Kích hoạt
- Vào Settings > Security Headers
- Bật: X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy
- Bật HSTS: max-age=31536000, includeSubDomains, preload
- Cấu hình CSP nếu cần
Cấu hình qua .htaccess
Nếu prefer không dùng plugin:
Header set X-Frame-Options "SAMEORIGIN" Header set X-Content-Type-Options "nosniff" Header set Referrer-Policy "strict-origin-when-cross-origin" Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" Header set Permissions-Policy "camera=(), microphone=(), geolocation=()" Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline';"
Lưu ý: CSP cần điều chỉnh theo site của bạn.
Kiểm tra Security Headers
Vào securityheaders.com và nhập domain. Target là A hoặc A+.
Bạn đang đọc bài viết thuộc chuyên mục Bảo mật website của VietnamTutor — nơi mình chia sẻ những chiến thuật bảo vệ website dựa trên kinh nghiệm thực tế từ các dự án triển khai.
Các câu hỏi thường gặp
Security headers có làm chậm website không?
Không. Headers được gửi kèm HTTP response — không ảnh hưởng đến tốc độ.
Có cần SSL không?
Cần HTTPS để HSTS hoạt động. Cài đặt Let’s Encrypt miễn phí trước.
CSP làm break site phải làm sao?
CSP có thể break plugins. Bắt đầu với CSP relaxed rồi tighten dần. Hoặc dùng Content-Security-Policy-Report-Only để test trước.
