Penganalisis Header Keamanan

Header keamanan adalah instruksi yang dikirimkan server web dengan setiap respons yang memberi tahu browser bagaimana berperilaku defensif: Kebijakan Keamanan Konten membatasi dari mana skrip dapat dimuat, Keamanan Transportasi Ketat memaksa HTTPS, X-Frame-Options memblokir clickjacking, dan seterusnya. Ini adalah salah satu langkah pengerasan dengan dampak paling murah dan paling tinggi yang dapat dilakukan sebuah situs.

Nilai menghitung berapa banyak dari enam header inti yang ada (CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy). Keenamnya mendapat nilai A; A+ juga memerlukan setidaknya satu header isolasi lintas asal (COOP/CORP/COEP) dan tidak ada tanda pelemahan seperti unsafe-inline di CSP Anda.

Tidak secara langsung — Google tidak memberi peringkat berdasarkan header keamanan. Namun, HSTS melindungi pengalaman HTTPS yang diukur oleh Google, dan situs yang diperkeras cenderung tidak diretas dan dimasukkan ke dalam daftar hitam, sehingga benar-benar merusak peringkat. Perlakukan header sebagai asuransi untuk investasi SEO Anda.

Setiap header yang hilang dalam laporan Anda menyertakan cuplikan perbaikan nginx yang siap ditempel. Di Apache, gunakan Header selalu setel arahan di .htaccess; di WordPress dengan nginx, tambahkan cuplikan ke blok server Anda dan muat ulang. Mulailah dengan X-Content-Type-Options dan HSTS (risiko terendah), uji CSP dalam mode hanya laporan terlebih dahulu.

Header seperti Server: nginx/1.24.0 atau X-Powered-By: PHP/8.3 mengungkapkan versi perangkat lunak yang tepat, yang memungkinkan penyerang mencari eksploitasi versi spesifik. Laporan tersebut menandainya sehingga Anda dapat menghapus atau menjadikannya generik.