Mit HTTP-Sicherheits-Headern können Sie Ihrer WordPress-Website eine zusätzliche Sicherheitsebene hinzufügen. Sie können dazu beitragen, gängige bösartige Aktivitäten wie Clickjacking, XSS-Angriffe und mehr zu verhindern.

Warum Security Headers zu WordPress hinzufügen?

Die Sicherheit von WordPress ist ein Aspekt, der oft sehr leichtfertig vernachlässigt wird, weil man denkt, dass Hacks und Angriffe immer „anderen“ passieren, ohne daran zu denken, dass der nächste „andere“ vielleicht wir selbst sind. Deshalb widmen wir, wann immer wir können, einen Artikel der Erhöhung der Sicherheit Ihrer Websites.

Trotzdem schadet es nie, die Sicherheit unseres Projekts mit eigenen Mitteln zu erhöhen. Ein klares Beispiel dafür ist das Einfügen von HTTP-Sicherheits-Headern in WordPress.

Bevor Sie sich mit den Sicherheits-Headern beschäftigen, sollten Sie sich über die bekannten Bedrohungen im Internet informieren und wissen, warum Sie diese Sicherheits-Header verwenden sollten.

  • Schützen Sie Ihre Website vor Sql-Injection-Schwachstellen
  • Isolieren Sie Ihre Website von anderen Websites
  • Bauen Sie eine leistungsstarke Website sicher auf
  • Verschlüsseln Sie den Datenverkehr zu Ihrer Website

Die gute Nachricht ist, dass sie beide kostenlos und einfach zu implementieren sind. Die schlechte Nachricht ist, dass Ihre Website verwundbar ist, wenn Sie sie nicht bereits haben!

Sie können HTTP-Security-Headers auf zwei Arten implementieren:

Mit einem Plugin – Diese Plugins machen es Ihnen leicht, jeden Header zu konfigurieren, ohne dass Sie manuell Code bearbeiten müssen

Manuelles Bearbeiten von .htaccess auf Apache, nginx config oder web.config auf IIS – Dies ist technisch anspruchsvoller und erfordert mehr Aufwand, aber wenn Sie bereits Erfahrung mit diesen Dateien haben, wäre dies eine gute Option für Sie

In diesem Artikel erklären wir Ihnen, was WordPress HTTP-Sicherheitsheader sind, was sie zum Schutz Ihrer Website beitragen können und wie Sie Sicherheitsheader in eine WordPress-Website einfügen.

Was sind HTTP-Security-Headers?

Wenn Sie eine Website besuchen, stellt der Browser eine Anfrage an den Webserver, der sie hostet. Unmittelbar danach antwortet der Webserver mit einer weiteren Anfrage, die Kopfzeilen enthält (die sogenannten Antwort-Header).

Diese Header enthalten Informationen über die Cache-Kontrolle, die Art des im Browser anzuzeigenden Inhalts, die Kodierung dieses Inhalts, die Uhrzeit des Verbindungsaufbaus und vieles mehr.

Im Grunde genommen sind HTTP-Header eine Reihe von Regeln, die Auskunft darüber geben, wie sich Browser bei der Auslieferung von Inhalten verhalten sollen. Diese Header können vom Server oder vom Client (in diesem Fall dem Browser) verwendet werden.

Wenn Sie eine HTTPS-Anfrage stellen, bittet Ihr Browser den Server um Informationen, indem er eine Reihe von Anfragen und Headern sendet. Der Server antwortet dann mit einem Statuscode in der Kopfzeile, gefolgt von einer Reihe von Antwortkopfzeilen und dann dem Text des Dokuments.

Wenn wir die Sicherheit dieser Sicherheits-Header erhöhen, fügen wir unserer Website eine weitere Sicherheitsebene hinzu, die dazu beiträgt, mögliche Angriffe und Schwachstellen zu entschärfen.

Das Problem dabei ist, dass wir, um auf diese Dateien zuzugreifen und sie zu bearbeiten, dies bei unserem Webhosting-Unternehmen beantragen müssen, da es sich um sehr sensible Dateien der Apache-, NGINX- und anderer Konfigurationen handelt.

HTTP-Security-Header sind eine Funktion Ihres Webservers und nicht spezifisch für WordPress. Sie geben Ihnen die Möglichkeit, einige zusätzliche Sicherheitsmaßnahmen zu konfigurieren, die angewendet werden können, wenn jemand versucht, auf eine Ressource auf Ihrer Website zuzugreifen (z.B. eine Seite oder ein Bild).

Mit Security-Headern können Sie Ihrer WordPress-Website eine zusätzliche Sicherheitsebene hinzufügen. Sie können dazu beitragen, gängige bösartige Aktivitäten wie Cross-Site-Scripting-Angriffe und Clickjacking-Versuche zu blockieren.

Http Security Headers setzt den folgenden Antwort-Header:

Copy to Clipboard

Dadurch wird verhindert, dass die Seite in einem Frame, Iframe oder Objekt geladen wird. Dies schützt Ihre Website vor Clickjacking-Angriffen.

Copy to Clipboard

Dadurch wird verhindert, dass Internet Explorer und Google Chrome eine Antwort abseits des angegebenen Content-Typs per MIME-Sniffing auswerten. Dies trägt auch zum Schutz vor Drive-by-Download-Angriffen und Websites bei, die vom Benutzer hochgeladene Inhalte anbieten, die durch geschickte Namensgebung von MSIE als ausführbare oder dynamische HTML-Dateien behandelt werden könnten.

Copy to Clipboard

Bietet XSS-Schutz durch Setzen des X-XSS-Protection-Headers. In modernen Browsern ist dies normalerweise standardmäßig aktiviert.

Nach fehlenden HTTP-Sicherheits-Headern suchen

Über folgende Links kann man schnell die Security Headers prüfen: securityheaders.com, siwecos.de, observatory.mozilla.org und webbkoll.dataskydd.net

HTTP-Security-Header, die Sie unbedingt in WordPress implementieren müssen

Wir sehen uns die verschiedenen HTTP-Sicherheits-Header genauer an und zeigen Ihnen, wie Sie sie ganz einfach auf Ihrer WordPress-Website implementieren können. Als nächstes werden wir Ihnen in groben Zügen erklären, was jeder dieser Header bewirkt:

HTTP Strict Transport Security Header

Mit dem HTTP Strict Transport Security (HSTS)-Header können Sie dem Browser mitteilen, dass er Ihre Website niemals über HTTP laden darf und stattdessen HTTPS verwenden muss. Außerdem teilt er dem Browser mit, dass er sich dies für eine bestimmte Zeitspanne merken soll. Durch die Verwendung dieses Headers stellen Sie sicher, dass Ihre Website immer über HTTPS geladen wird.

Wenn Sie Ihre WordPress-Website von HTTP auf HTTP umgestellt haben, können Sie mit diesem Sicherheitsheader verhindern, dass Browser Ihre Website über HTTP laden.

X-XSS Protection Security Header

X-XSS-Protection wird verwendet, um den Cross-Site-Scripting-Schutz (XSS) im Browser zu konfigurieren. Er hilft, einige Arten von XSS-Angriffen auf Ihre Website zu verhindern, indem er den Browser daran hindert, die Seite zu rendern, wenn ein Angriff erkannt wird.

X-Frame Options Security Header

Der Sicherheitsheader X-Frame-Options verhindert domänenübergreifende Iframes oder Click-Jacking. Der X-Frame-Options-Header kann verwendet werden, um verschiedene DDOS-Angriffe und Brute-Force-Angriffe auf Ihrer WordPress-Website zu verhindern. Er ermöglicht es Ihnen, dem Browser mitzuteilen, ob eine Seite auf Ihrer Website mit Iframe-Elementen eingebettet werden kann oder nicht.

X content type options

X-Content-Type-Options blockiert das Ausschnüffeln von MIME-Typ-Inhalten.

Content-Security-Policy (CSP)

Cross-Site Scripting (XSS) ist eine Art von Angriff, bei dem bösartige Skripts in eine anfällige Website eingeschleust und ausgeführt werden können.

Die Content-Security-Policy bietet eine zusätzliche Ebene zur Abschwächung von XSS-Angriffen. Sie trägt dazu bei, das Risiko von XSS-Angriffen in modernen Browsern zu verringern, indem sie festlegt, welche dynamischen Ressourcen geladen werden dürfen und woher sie stammen.

Referrer-Policy

Wenn ein Benutzer eine Website besucht, wird sofort ein „Referrer“-Header eingefügt, der dem Server mitteilt, woher der Besucher kommt. Dieser Header wird für statistische Zwecke verwendet.

Sie werden verstehen, dass dies ein Problem für den Datenschutz darstellt.

  • no-referrer: sendet die Kopfzeile nie.
  • same-origin: sendet die vollständige URL bei Anfragen an denselben Ursprung (exaktes Schema + Domain)
  • strict-origin: sendet nur den Domain-Teil der URL, sendet aber nichts, wenn auf HTTP heruntergestuft wird.
  • origin: ähnlich wie strict-origin ohne Downgrade-Beschränkung.
  • strict-origin-when-cross-origin: sendet die vollständige URL innerhalb desselben Ursprungs, aber nur den Domain-Teil, wenn er an einen anderen Ursprung gesendet wird. Bei einer Herabstufung auf HTTP wird nichts gesendet.
  • origin-when-cross-origin: ähnlich wie strict-origin-when-cross-origin ohne die Downgrade-Beschränkung.

Feature-Policy

Die Feature-Policy ist eine Art Sicherheits-Header, der es Web-Besitzern ermöglicht, bestimmte Funktionen der Web-Plattform auf ihren eigenen Seiten und in den Seiten, die sie einbetten, zuzulassen oder zu verbieten.

Mithilfe des Feature-Policy-Headers können Sie als Website-Eigentümer Browserfunktionen einschränken.

Für jedes der Merkmale müssen Sie angeben, was erlaubt ist und was nicht. Dies sind die Möglichkeiten:

  • geolocation
  • midi
  • notifications
  • push
  • sync-xhr
  • microphone
  • camera
  • magnetometer
  • gyroscope
  • speaker
  • vibrate
  • fullscreen
  • payment

Wenn Sie zum Beispiel die Geolokalisierung und die Kamera auf Ihrer WordPress-Website deaktivieren möchten, müssen Sie eine Feature-Policy wie folgt definieren:

Copy to Clipboard

Wenn Sie den Parameter ’none‘ in der Quellenliste angeben, wird diese Funktionalität deaktiviert.

Wie füge ich Secure HTTP-Sicherheits-Header in WordPress hinzu?

Die Feature-Policy ist eine Art Sicherheits-Header, der es Web-Besitzern ermöglicht, bestimmte Funktionen der Web-Plattform auf ihren eigenen Seiten und in den Seiten, die sie einbetten, zuzulassen oder zu verbieten.

Mithilfe des Feature-Policy-Headers können Sie als Website-Eigentümer Browserfunktionen einschränken.

Für jedes der Merkmale müssen Sie angeben, was erlaubt ist und was nicht. Dies sind die Möglichkeiten:

Hinzufügen von HTTP-Security-Headern in WordPress mit .htaccess

Bevor Sie diese Dateien manuell hinzufügen, müssen Sie auf Ihre .htaccess-Datei zugreifen. Diese Datei ist nur auf Apache-Servern über FTP verfügbar.

Mit diesem Verfahren können Sie HTTP-Sicherheits-Header in WordPress auf Serverebene konfigurieren. Dazu müssen Sie die Datei .htaccess auf Ihrer Website bearbeiten. Dabei handelt es sich um eine Serverkonfigurationsdatei, die von der am weitesten verbreiteten Apache-Webserver-Software verwendet wird.

Loggen Sie sich einfach mit einem FTP-Client oder der Dateimanager-Anwendung in Ihrem Hosting-Control Panel in Ihre Website ein. Im Stammverzeichnis Ihrer Website müssen Sie die .htaccess-Datei ablegen und bearbeiten.

Dadurch wird die Datei in einem einfachen Texteditor geöffnet. Unten in der Datei können Sie den Code einfügen, um HTTPS-Sicherheits-Header zu Ihrer WordPress-Website hinzuzufügen. Sie können den folgenden Beispielcode als Ausgangspunkt verwenden und die am häufigsten verwendeten HTTP-Sicherheits-Header mit den optimalen Einstellungen festlegen:

Copy to Clipboard

Denken Sie daran, dass wenn Sie externe Scripte, Bilder oder Medien nutzen, dass die URL jeweils hinter den jeweilgen Gruppen erscheinen.

Beispiel beim Einsatz von dem Google Tag-Manager mit Google Analytics:

Copy to Clipboard

Security Headers WordPress Plugins

Ja, es gibt auch Plugins für WordPress, mit denen Sie HTTP-Sicherheits-Header in WordPress hinzufügen können. Dies sind einige davon, die kostenlos erhältlich sind:

Content Security Policy Manager ist ein WordPress-Plugin, mit dem Sie die Header der Content Security Policy für Ihre Website einfach konfigurieren können. Sie können unterschiedliche CSP-Kopfzeilen für die Verwaltungsoberfläche, das Frontend für angemeldete Benutzer und das Frontend für normale Besucher einrichten.

Das Plugin ist sehr vollständig und einfach zu verwenden, wenn Sie über ein Grundwissen über die möglichen Parameter der verschiedenen Sicherheits-Header verfügen. Zusätzlich zu den Sicherheits-Headern ermöglicht es das Hinzufügen von anderen Zugriffskontrollen, Cache, Komprimierung usw. Sehr sehr vollständig.

Dieses fantastische Weiterleitungs-Plugin verfügt auch über ein Tool zum Hinzufügen von Sicherheits-Headern zu Ihrer Website.

WordPress Webdesign redirection http-headers
WordPress Webdesign redirection http-headers

Es war an der Zeit, dass ein Sicherheits-Plugin die Funktion hat, Sicherheits-Header hinzuzufügen, und SiteGround fügt die wichtigsten mit einem Mausklick hinzu.

Ein weiteres großartiges Plugin, mit dem Sie die Parameter konfigurieren und die verschiedenen HTTP-Sicherheits-Header hinzufügen können.