Wenn du eine WordPress-Website besitzt, solltest du dich um die Sicherheit deiner Website kümmern. Um einen Blog, ein Unternehmen oder einen Online-Shop erfolgreich zu betreiben, musst du dafür sorgen, dass deine Website absolut sicher ist.
Kunden besuchen deine Website, kaufen Produkte und geben sensible Informationen wie Passwörter, Kreditkartendaten usw. weiter. Wenn es eine Möglichkeit gibt, in deine Website einzudringen, können Hacker die Daten deiner Kunden stehlen.
Wenn es um die Sicherheit deiner Website geht, gibt es viele Dinge, die du tun kannst, um die Sicherheit deiner WordPress-Website zu erhöhen.
Eine gute Möglichkeit, die Sicherheit deiner Website zu verbessern, ist das Hinzufügen von HTTP-Sicherheits-Headern in deine WordPress-Website, um sicherzustellen, dass du mit den besten Sicherheitspraktiken auf dem Laufenden bleibst.
HTTP-Sicherheits-Header fügen eine weitere Sicherheitsebene hinzu, indem sie helfen, Angriffe und Sicherheitslücken zu vermindern.
In diesem Artikel erklären wir, was HTTP-Antwort-Header sind und wie man HTTP-Sicherheits-Header in WordPress hinzufügt.
Was sind HTTP-Security Headers?
Wenn ein Nutzer eine Website über einen Webbrowser besucht, reagiert der Server mit HTTP Response Headers. Diese Header teilen dem Webbrowser mit, wie er sich während seiner Interaktion mit der Website verhalten soll. Diese Header bestehen in der Regel aus Metadaten wie Cache-Kontrolle, Status-Fehlercodes, Content-Encoding usw.
Durch die Verwendung von HTTP-Antwort-Headern kannst du die Sicherheit deiner Website erhöhen und Angriffe verhindern oder abwehren.
Wenn du zum Beispiel strict-transport-security hinzufügst, kannst du alle aktuellen Webbrowser wie Google Chrome, Firefox und Safari dazu zwingen, mit deiner Website nur über HTTPS zu kommunizieren.
Werfen wir einen Blick auf die 6 HTTP-Security Headers,
- HTTP Strict Transport Security (HSTS)
- X-Frame-Options
- X-XSS-Schutz
- X-Content-Type-Options
- Referrer-Policy
- Feature-Policy
HTTP STRICT TRANSPORT SECURITY (HSTS)
Angenommen, du hast eine Website example.com und richtest ein SSL/TLS-Zertifikat ein, um von HTTP zu HTTPS zu wechseln.
Jetzt weißt du, dass deine Website nur mit HTTPS zugänglich ist.
Was ist, wenn ich dir sage, dass deine Website immer noch über HTTP erreichbar ist? Ja, du hast es richtig gehört. Es gibt verschiedene Skripte, die Hacker verwenden, um eine Website über HTTP zu öffnen.
Mit strict-transport-security kannst du alle aktuellen Webbrowser wie Google Chrome, Firefox und Safari dazu zwingen, mit deiner Website nur über HTTPS zu kommunizieren. Wenn also ein Angreifer versucht, deine WordPress-Website über HTTP zu öffnen, würde der Webbrowser die Seite nicht laden.
X-XSS-SCHUTZ
X-XSS, auch bekannt als Cross-Site Scripting, ist ein Sicherheitsheader, der Websites vor Cross-Site Scripting schützt.
Standardmäßig ist dieser Sicherheitsheader in modernen Webbrowsern integriert und aktiviert. Wenn du ihn aktivierst, wird dein Browser gezwungen, ihn zu laden. Dieser Security Header würde eine Seite nicht laden lassen, wenn er einen Cross-Site-Scripting-Angriff erkennt.
X-CONTENT-TYPE-OPTIONS
Der X-Content-Type-Options ist eine Art Security-Header mit dem Wert nosniff, der Google Chrome, Internet Explorer und Firefox daran hindert, eine Antwort abseits des deklarierten Inhaltstyps per MIME-Sniffing auszuwerten.
Dieser Sicherheitsheader schützt den Inhalt und verringert das Risiko von Drive-by-Downloads.
X-FRAME-OPTIONEN
Der x-frame-options-Header schützt Websites vor Clickjacking, indem er das Ausfüllen von Iframes auf deiner Website verhindert. Er wird von IE 8+, Chrome 4.1+, Firefox 3.6.9+, Opera 10.5+ und Safari 4+ unterstützt.
Bei dieser Methode gaukelt ein Angreifer dem Nutzer vor, auf etwas zu klicken, das gar nicht da ist. Der Nutzer glaubt, dass er/sie auf der Hauptseite ist, aber im Hintergrund läuft etwas anderes. Auf diese Weise können Hacker Informationen aus deinem Webbrowser stehlen.
REFERRER-RICHTLINIE
Wenn ein Nutzer eine Website besucht, wird sofort ein „Referrer“-Header eingefügt, der dem Server mitteilt, woher der Besucher kommt. Dieser Header wird für analytische Funktionen verwendet.
Wie du siehst, stellt dies ein Problem für den Datenschutz dar. Das kannst du verhindern, indem du eine Referrer-Policy zu deiner WordPress-Website hinzufügst.
FEATURE-POLICY
Die Feature-Policy ist eine Art Sicherheits-Header, mit dem Website-Besitzer bestimmte Funktionen der Webplattform auf ihren eigenen Seiten und den von ihnen eingebetteten Seiten zulassen oder verbieten können.
Mit dem Feature-Policy-Header kannst du als Website-Besitzer die Webbrowser-Funktionen für eine Website einschränken.
Für jede einzelne Funktion musst du angeben, was erlaubt ist und was nicht. Hier sind die Feature Policies:
- Geolokalisierung
- midi
- Benachrichtigungen
- Push
- sync-xhr
- Mikrofon
- Kamera
- Magnetometer
- Gyroskop
- Lautsprecher
- Vibrieren
- Vollbild
- Zahlung
Wenn du zum Beispiel die Geolokalisierung und die Kamera auf deiner WordPress-Seite deaktivieren möchtest, musst du auf diese Weise eine Funktionsrichtlinie definieren:
eature-Policy: geolocation ‘none’ ; camera ‘none’
Wenn du das Wort „none“ für die Herkunftsliste angibst, wird die jeweilige Funktion für alle Browserkontexte deaktiviert.
Hinweis:
Bevor du HTTP-Sicherheits-Header in deine WordPress-Website einfügst, musst du sicherstellen, dass du ein SSL-Zertifikat installiert hast, sonst ist deine Website nicht erreichbar.
Bevor du deine Dateien bearbeitest, solltest du ein vollständiges Backup erstellen.
So fügst du HTTP-Antwort-Header in WordPress hinzu
Um HTTP-Response-Header in WordPress hinzuzufügen, musst du nur die folgenden Zeilen in deine .htaccess-Datei einfügen.
Logge dich zunächst in dein WordPress-Hosting-Konto im cPanel ein und gehe von dort aus in den Stammordner deiner WordPress-Website. Dann suchst du die .htaccess-Datei und bearbeitest sie.
Da es sich um eine (.) Datei handelt, kann sie versteckt werden. Wenn du die .htaccess-Datei im Root-Ordner nicht finden kannst, gehe zu den Einstellungen und klicke auf „Versteckte Dateien anzeigen“.
Füge nun die folgenden Zeilen am Ende ein:
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS Header set X-XSS-Protection "1; mode=block" Header set X-Content-Type-Options nosniff Header always append X-Frame-Options SAMEORIGIN Header Referrer-Policy: no-referrer-when-downgrade
Sobald du ihn hinzugefügt hast, speichere die Datei.
Gehe jetzt zu securityheaders.com, um zu überprüfen, ob der Code funktioniert oder nicht.
Hinweis: Wir haben die Feature Policy und die Content Security Policy nicht hinzugefügt, weil sie komplizierter einzurichten sind und deine Seite kaputt machen könnten. Aber sie reichen aus, um die Sicherheit von WordPress zu erhöhen.
Das war’s. Wir hoffen, dass diese Anleitung dir geholfen hat, die Grundlagen der HTTP-Sicherheitsheader zu verstehen und zu wissen, wie du sie auf deiner WordPress-Website implementieren kannst. Wenn du Fragen zu diesem Artikel hast, lass es uns im Kommentarbereich wissen.