WordPress网站宝塔面板开启HSTS预加载

test 1 12

老白博客@老白的WordPress优化教程:WordPress网站宝塔面板开启HSTS预加载。简单来说就是“用户在访问网站时,首先需要判断你是http网站还是https网站,然后再访问。而通过这个预加载列表,可以实现在用户访问之前就能知道是https,省略了判断这个流程,从而达到节省时间,实现WordPress网站加速的目的”。老白此处使用的是Nginx服务器,宝塔面板,相关设置方法如下:

WordPress网站宝塔面板开启HSTS预加载

[h2]1.宝塔面板开启HSTS[/h2]

打开宝塔面板的网站设置,进入配置文件,将原代码,类似下面这段,删除

add_header strict-transport-security

 

然后改为下面这行

 add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

开启了HSTS后,你部署SSL/TLS的服务检测得分就可能是A+以上了。ssllabs官网以及演示如下:

 

[h2]2.HSTSPRELOAD提交[/h2]

然后,再到https://hstspreload.org/网站,提交一下你的网站。之后,各大主流浏览器就会内置你的域名到他们的hsts列表中,直接内置到浏览器中。

[h3]2.1 做好Http跳转Https[/h3]

将www.xcbtmw.com以及任意二级域名都要做好Http跳转到Https,启用了HSTS后请求地址为 header 头中的 Location会显示307 ,即要求浏览器继续向 Location 的地址 POST 内容。

[h3]2.2 加入HSTS Preload List[/h3]

进入hstspreload官网,输入你的域名,然后检测结果会告诉是否符合加入HSTS Preload List,没有问题的话勾选确定。

 

[h2]3. 注意事项[/h2]

[h3]3.1 是否成功加入HSTS Preload List[/h3]

直接到下列网址搜索是否有你的域名即可:

当然,加入到了HSTS Preload List后,你可能还需要等待1-2月,待新版本的Chrome和Chromium、Firefox、IE等发布后,你的域名算是正式被各大浏览器承认并强制使用Https访问了,你可以在Chrome浏览器的地址框中输入“chrome://net-internals/#hsts”查看。

[h3]3.2 如何撤销HSTS Preload List[/h3]

官方也提供了一个申请删除HSTS Preload List,不过需要注意的是撤销HSTS Preload List和加入HSTS Preload List一样,花费的时间可能需要几个月以上,所以申请HSTS Preload List前一定要谨慎。

[h3]3.3 大佬总结[/h3]

(以下总结转载自:https://cloud.tencent.com/developer/article/1685568,感谢站长分享)

由于HSTS Preload List是一个内置于各大浏览器的Https网站列表,所以能否加入成功除了审核通过外,还得看浏览器版本的更新。一旦加入HSTS Preload List了想要退出就比较麻烦了,所以加入前一定要考虑好。也就是说开启HSTS后服务器上面的同一个根域名的所有子域名都要上Https,所以有的时候我们需要将子域名用来本地开发,每次都要配置HTTPS还是很麻烦的!而且同一个IP上网站域名都要上Https,如果你不部署也会给你强制跳转到https,导致无法打开,这真的是很麻烦。

那么哪些网站适合加入HSTS Preload List?个人博客或者网站可以来玩一玩,对于安全性要求比较高的电商网站,会员管理后台等完全可以使用HSTS Preload List,对于一些有Http需要的还是不加入得好。

虽然说https防劫持的效果很好,有的时候想要防数据劫持或广告插入不仅要看https,还要看浏览器。比如UC拉到最底下的时候会经常出现不相干的广告。所以说就算你加入了https也不是万能的,有些流氓浏览器真的没办法。广告劫持通常与DNS过程无关,即使HSTS也无法规避由DNS劫持带来的网站打开错误,这些大家也要了解一下!

本文作者为test,转载请注明。

发表评论 取消回复
表情 图片 链接 代码

  1. 散人
    散人 Lv 1

    兄弟,我们openlitespeed的服务器怎么配置啊?

    2023-12-14 23:09 回复
    • 老白
      老白 站长

      @散人老哥,ols在这里<img class='comments-emoji' src='https://www.xcbtmw.com/wp-content/themes/theme-document-master/assets/smilies/huaji.png' title='emoji'/>:https://www.xcbtmw.com/29567.html

      2023-12-14 23:22 回复
      • 散人
        散人 Lv 1

        @老白麻烦,没有安装cyberpanel面板,只是宝塔面板,有办法吗

        2023-12-14 23:55 回复
        • 老白
          老白 站长

          @散人老哥,宝塔的ols配置被锁了,我这篇里面提到过https://www.xcbtmw.com/29499.html

          2023-12-15 00:01 回复
          • 散人
            散人 Lv 1

            @老白那就没法了

            2023-12-15 00:07 回复
          • 老白
            老白 站长

            @散人是的,想完全使用ols,还得用其他面板

            2023-12-15 00:11 回复
          • 散人
            散人 Lv 1

            @老白你觉得openlitespeed性能怎么样?比nginx好吗?我用了半年感觉差不多,想换回nginx了

            2023-12-15 00:17 回复
          • 老白
            老白 站长

            @散人看使用场景,个人博客用ols,折腾一点无所谓,大站还是建议用熟悉的。ols跑WordPress绝对比Nginx快,我自己的就是cp面板,完全依托ols

            2023-12-15 10:40 回复
  2. 散人
    散人 Lv 1

    兄弟,Ols你用的什么缓存?wp升级6.3后用Lscache感觉和不用一样,我都把缓存插件删了…

    2023-12-15 11:01 回复
    • 老白
      老白 站长

      @散人我用的memcached缓存,ls cache插件。我觉得你使用ols效果不明显的原因可能是没有在ols控制面板进行相关优化调整,因为宝塔面板是不支持ols调整的

      2023-12-15 11:34 回复
      • 散人
        散人 Lv 1

        @老白Memcachad我使用过,是nginx服务器搭配的插件,Ols也可以搭配memcached吗?

        2023-12-15 14:32 回复
        • 老白
          老白 站长

          @散人memcached和redis都是可选的对象缓存处理对象,是PHP的。缓存插件和缓存对象是不一样的,这里面可以看到:https://www.xcbtmw.com/29813.html

          2023-12-15 14:59 回复
分享