Posted on

Cara Mengaktifkan HSTS Website WordPress

wpJakarta – Cara Mengaktifkan HSTS Website WordPress. Seharusnya judulnya bukan hanya untuk website WordPress, namun universal untuk apapun jenis websitenya tentu dapat mengaplikasikan HSTS. HSTS atau HTTP Strict Transport Security adalah metode deklarasi sebuah website bahwa “dia” hanya dapat diakses dengan protokol koneksi HTTPS bukan lagi dengan HTTP semata. Untuk mengaktifkan website agar hanya diakses melalui HTTPS (HSTS) sangatlah mudah dan gratis. Hanya dengan dasar bahwa website sudah berjalan pada protokol HTTPS dan beberapa klak dan klik saja maka HSTS bisa diaktifkan. Tapi ada yang lebih penting jika ingin mengaktifkan HSTS.

wp jakarta tips-trik wordpresswp jakarta tips-trik wordpress

Yang penting adalah memastikan “komitmen” sebelum benar-benar mengaktifkan HSTS. Komitmen mengaktifkan HSTS juga tidak berat-berat amat. Tapi salah-salah atau menyalahi komitmen maka website tidak akan bisa diakses, tentu saja berakibat buruk terhadap SEO. Dan untuk dapat diakses lagi pilihannya adalah memenuhi lagi segala komitment awal atau meremove lagi website dari list preload HSTS.

Cara Mengaktifkan HSTS Website WordPress melalui plugin Really Simple SSL

Jika website sudah terinstall plugin really simple SSL, maka HSTS bisa diaktifkan dari salah satu fiturnya, tapi syaratnya adalah dengan memasang plugin really simple SSL versi premium. Jika tertarik untuk menggunakan plugin really simple SSL premium, silahkan download disini Really Simple SSL Premium.

Cara Mengaktifkan HSTS Website WordPress melalui CDN cloudflare

Jika anda sudah menggunakan layanan CDN cloudflare, maka HSTS dapat diaktifkan melalui layanannya, baik customer versi berbayar maupun customer versi gratis dapat mengaktifkan HSTS.

  • Akses dashboard cloudflare dan menu SSL/TLS.
  • Pada tab “Edge Certificates” :
    • Pastikan “Always Use HTTPS” diaktifkan ke “ON”.
    • Lalu pada bagian bawahnya HTTP Strict Transport Security (HSTS) klik “enable HSTS”
    • Baca dulu tab “Acknowledgement” jika oke, centang “I understand” dibagian bawah.
    • Selanjutnya pada tab “Configure” klik semuanya menjadi “ON”.
    • Max Age Header (max-age) set ke periode berapa bulan yang menurut anda nyaman (cloudflre recomend 6 bulan).
    • Lalu klik “Save”.

Biarkan berjalan selama beberapa hari /minggu atau bulan untuk mengobservasi kondisi website, apakah ada hal-hal yang janggal dari “sisi trafik” dan lainnya. Jika semua OKE dan komitment anda sudah full untuk menikahi website anda dengan HSTS, balik lagi ke setting tersebut dan set Max Age Header menjadi 1 tahun.

Cara Mengaktifkan HSTS Website WordPress melalui file .htaccess (apache)

<IfModule mod_headers.c>
Header set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”
</IfModule>

//penentuan max age (6 bulan, 1 tahun atau 2 tahun) convert ke detik

Anda dapat memeriksa response header melalui browser chrome jika : pada response header.

Akses melalui http, response headers = Non-Authoritative-Reason: HSTS dan request header, Upgrade-Insecure-Requests: 1

Akses melalui https, response headers = strict-transport-security: max-age=31536000; includeSubDomains; preload dan request header, Upgrade-Insecure-Requests: 1

Submit/preloading domain melalui Hstspreload.org.

Kunjungi HSTS preload website https://hstspreload.org/ dan submit domain anda disana (minimum max age = 1 tahun).