Стандартная установка Nginx раскрывает версию сервера и не включает защитные HTTP-заголовки. Hardening занимает 20 минут и закрывает целый класс уязвимостей.
nginx.conf — базовые настройки
http {
server_tokens off; # Скрыть версию
client_max_body_size 10m;
client_body_timeout 12;
client_header_timeout 12;
keepalive_timeout 15;
large_client_header_buffers 2 1k;
}Защитные HTTP-заголовки
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;Rate Limiting
http {
limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;
limit_req_zone $binary_remote_addr zone=login:10m rate=1r/s;
}
server {
location /api/ { limit_req zone=api burst=20 nodelay; }
location /wp-login.php { limit_req zone=login burst=3; }
}Запрет скрытых и опасных файлов
location ~ /\. { deny all; access_log off; log_not_found off; }
location ~* \.(bak|conf|sql|log|sh|ini)$ { deny all; }
SSL/TLS конфигурация
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305';
ssl_prefer_server_ciphers off;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 1d;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;Ограничение HTTP-методов
location / {
limit_except GET HEAD POST { deny all; }
}
Используйте securityheaders.com для анализа HTTP-заголовков. Цель — оценка A или A+.
CSP (Content Security Policy) — мощнейший заголовок — требует тщательной настройки. Неправильный CSP сломает сайт. Начните с
Content-Security-Policy-Report-Only перед боевым применением.