Security Headers в .htaccess

Для тестирования заголовков можно использовать сервисы:

• https://rechecker.ru/services/security-headers
• https://www.serpworx.com/check-security-headers/
• https://securityheaders.com/

Пример кода для .htaccess в корне WordPress:

Header add Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header add Content-Security-Policy "script-src 'self' 'unsafe-inline' https://mc.yandex.ru/"
Header add X-Frame-Options "SAMEORIGIN"
Header add X-Content-Type-Options "nosniff"
Header add X-XSS-Protection "1; mode=block"
Header add Referrer-Policy "strict-origin-when-cross-origin"
Header add Permissions-Policy "geolocation=()"
Header add X-Permitted-Cross-Domain-Policies "none"
Header add Cross-Origin-Opener-Policy "same-origin"
Header add Cross-Origin-Resource-Policy "cross-origin"
Header add Cross-Origin-Embedder-Policy "unsafe-none"

Пример кода для .htaccess в /wp-admin/:

Header set Content-Security-Policy "script-src 'self' 'unsafe-inline' 'unsafe-eval'"

Некоторые заголовки в сервисах все равно будут помечены иконками внимания, это неизбежно если вам нужно встраивать ресурсы яндекс метрики и прочее.