So fügen Sie HTTP-Sicherheitsheader in WordPress hinzu

Veröffentlicht: 2021-04-20

Wenn es um die Gestaltung einer WordPress-Website geht, kann man nicht zu sicher sein. Jede Sicherheitsebene ist eine weitere Garantie dafür, dass Ihre Daten und die Ihrer Kunden geschützt bleiben. Aber leider können Sie einige Sicherheitsmaßnahmen auf unterschiedliche Weise behindern . Idealerweise möchten Sie Ihrer Website zusätzliche Sicherheitsfunktionen hinzufügen, ohne die Benutzererfahrung zu gefährden. Und wie sich herausstellt, bieten HTTP-Sicherheitsheader genau das. Schauen wir uns also genauer an, wie man HTTP-Sicherheitsheader in WordPress hinzufügt.

HTTP-Sicherheitsheader verstehen

HTTP-Sicherheitsheader werden hauptsächlich als Warnung verwendet. Wenn ein Besucher auf Ihre Website kommt, erhält er eine HTTP-Header-Antwort von Ihrem Server . Die Antwort informiert ihren Browser über Fehlercodes, Cache-Steuerung und verschiedene andere Aspekte. Wenn alles in Ordnung ist, gibt die Header-Antwort einen HTTP 200-Status aus. Wenn Sie diese erhalten, hat der Browser des Benutzers grünes Licht, um Ihre Website zu laden. Wenn es jedoch Schwierigkeiten gibt, erhält der Benutzer eine andere Kopfzeile. Häufige Beispiele sind 500 interne Serverfehler oder ein 404 nicht gefunden-Fehler.

404 in Blöcken geschrieben.
404-Fehler ist ziemlich häufig.

HTTP-Sicherheitsheader sind eine Art von Header, die Ihr Server senden kann. Sie dienen dazu, Browser vor Cross-Site-Scripting, Brute-Force-Angriffen, Clickjacking und verschiedenen anderen Sicherheitsbedrohungen zu warnen . Die gängigsten Arten von HTTP-Sicherheitsheadern sind:

  • HTTP Strict Transport Security (HSTS) – Dieser Header informiert den Browser des Benutzers darüber, dass Ihre Website HTTPS verwendet.
  • X-XSS-Schutz – Dieser Header blockiert Cross-Site-Scripting.
  • X-Frame-Options – Dieser Header verhindert Clickjacking und Cross-Domain-iFrames.
  • X-Content-Type-Options – Dieser Header blockiert Mime-Type-Sniffing.

Wie Sie sehen, können Sicherheits-Header eine wichtige Rolle dabei spielen, wie sicher Ihre Website ist. Lassen Sie uns also ein paar Möglichkeiten sehen, wie Sie HTTP-Sicherheitsheader in Ihre Website integrieren können.

Fügen Sie HTTP-Sicherheitsheader in WordPress hinzu

Der beste Weg, um die HTTP-Sicherheitsheader festzulegen, ist auf Webserver-Ebene. Dadurch stellen Sie sicher, dass sie zu Beginn einer HTTP-Anforderung ausgelöst werden , und bieten somit ein Höchstmaß an Sicherheit. Und Sie müssen sich nicht darum kümmern, dies für verschiedene Zielseiten zu tun, da die Header auf Serverebene festgelegt werden. Die andere Option ist eine Website-Firewall auf DSN-Ebene. Das Einrichten auf dieser Ebene wird daher normalerweise als einfacher angesehen, kann jedoch in Bezug auf Sicherheitsmaßnahmen problematisch sein. Trotzdem werden wir beide Methoden und ihre Anwendung durchgehen.

Verwendung eines WordPress-Plugins

Wie in den meisten Fällen bei WordPress ist die Verwendung eines Plugins der einfachste Weg, etwas zu ändern. Glücklicherweise sind HTTP-Sicherheitsheader keine Ausnahme. Als erstes müssen Sie das Umleitungs-Plugin installieren. Sobald Sie es installiert und aktiviert haben, sehen Sie einen Setup-Assistenten. Befolgen Sie einfach die Anweisungen, um es einzurichten. Gehen Sie danach auf die Seite Tools -> Redirection und wechseln Sie zur Registerkarte „Site“. Dort müssen Sie ganz nach unten scrollen und auf „Header hinzufügen“ klicken. In dem angezeigten Dropdown-Menü können Sie die Option „Sicherheitsvoreinstellungen hinzufügen“ auswählen. Dadurch wird Ihnen eine Liste mit HTTP-Sicherheitsheadern angezeigt . Sie können dann Überschriften überprüfen und ändern (falls erforderlich) und sie schließlich auf Ihrer Website implementieren. Denken Sie daran, auf die Schaltfläche „Aktualisieren“ zu klicken, wenn Sie fertig sind.

Registerkarte „Sicherheit“ in WordPress.
Während Sie HTTP-Sicherheitsheader in WordPress hinzufügen sollten, sollten Sie wissen, dass Sie andere Plugins benötigen, um Ihre Website sicher zu halten.

Verwendung von .htaccess

Lassen Sie uns nun von gewöhnlichen Plugins weggehen und einige Methoden untersuchen, die etwas komplizierter sind. Mit der folgenden Methode können Sie die HTTP-Sicherheitsheader auf Serverebene festlegen. Was Sie nämlich tun werden, ist, die .htaccess-Datei auf Ihrer Website zu ändern . Die Apache-Webserver-Software verwendet diese Datei am häufigsten für die Serverkonfiguration. Um es zu ändern, können Sie entweder einen FTP-Client verwenden oder zum Hosting-Kontrollfeld gehen und die Dateimanager-App verwenden . Sie finden die .htaccess-Datei im Stammordner Ihrer Website. Sobald Sie dies getan haben, klicken Sie mit der rechten Maustaste darauf und wählen Sie Bearbeiten.

Dies öffnet den Texteditor. Darin müssen Sie nach unten scrollen und den Code hinzufügen, der die HTTP-Sicherheitsheader implementiert. Es gibt eine gewisse Vielfalt, wenn es darum geht, welche Header Sie implementieren möchten. Daher sollten Sie etwas tiefer graben, um herauszufinden, welche Überschriften für Sie am besten geeignet sind . Der folgende Code ist ein guter Ausgangspunkt, da er die am häufigsten verwendeten Header enthält:

<ifModul mod_headers.c>
Header-Set Strict-Transport-Security „max-age=31536000“ env=HTTPS
Header-Set X-XSS-Protection „1; Modus = blockieren“
Header-Set X-Content-Type-Options nosniff
Header-Set X-Frame-Options DENY
Header-Set Referrer-Policy: no-referrer-when-downgrade
</ifModul>

Denken Sie nur daran, Ihre Änderungen zu speichern, nachdem Sie den Code kopiert haben.

Ein Laptop, der mit Websites in verschiedenen Ländern verbunden ist und die Notwendigkeit zeigt, HTTP-Sicherheitsheader in WordPress hinzuzufügen.
Sicherheitsmaßnahmen auf Serverebene sind ziemlich schwer zu übertreffen.

Verwenden von Cloudflare

Wenn es um die Handhabung einer Website geht, ist Cloudfare ein ziemlich anständiges Tool. Wenn Sie es verwenden, haben Sie eine einfache Firewall, die mehr als genug ist, um Sie vor Bots und Standard-Malware-Angriffen zu schützen. Und Sie haben einen CDN-Dienst. Leider kann es in seiner kostenlosen Version etwas fehlen . Wenn es Ihnen also am Ende gefällt, müssen Sie sich möglicherweise für ein Premium entscheiden.

Eine weitere Verwendung von Cloudfare besteht darin, dass Sie HTTP-Sicherheitsheader in WordPress hinzufügen können. Dazu müssen Sie es zunächst installieren und aktivieren. Sobald Sie dies getan haben, gehen Sie zur SSL/TLS-Seite unter Ihrem Konto. Dann müssen Sie zur Registerkarte Edge-Zertifikate wechseln. Jetzt müssen Sie nach unten scrollen und den Abschnitt HSTS (HTTP Strict Transport Security) öffnen. Klicken Sie nun auf die Schaltfläche HSTS aktivieren. Hier werden Sie aufgefordert, HTTPS in Ihrem WordPress-Blog zu aktivieren. Sobald Sie dies tun, haben Sie Zugriff auf HTTP-Sicherheitsheader.