Security-Header
Security-Header
1,3 Minuten
Sichern Sie Ihre Website mit einem Security Header!
Was ist ein Security Header und wofür benötigt man ihn?
Nicht nur seit der neuen Datenschutz-Grundverordnung (DSGVO), die den Schutz der persönlichen Daten vorschreibt, sondern auch, um die eigene Website vor Hacker-Angriffen zu schützen, bedarf es einiger Sicherheitsvorkehrungen. Hierfür gibt es spezielle Security-Header Befehle.
Wird eine Website von einem Server durch einen Browser geladen, werden u.a. auch sicherheitsrelevante Einstellungen übertragen.
Um Hacker-Angriffe oder die nicht Datenschutz konforme Übertragung von Nutzerdaten zu vermeiden, sind Security-Header wichtig.
Beispiele für Security Header sind:
- Content-Security-Policy (CSP): Verhindert das Laden von unsicheren Skripten und Ressourcen.
- Strict-Transport-Security (HSTS): Erzwingt die Nutzung von HTTPS.
- X-Content-Type-Options: Verhindert das MIME-Type-Sniffing, um sicherzustellen, dass Dateien nicht als andere Typen interpretiert werden.
- X-Frame-Options: Verhindert Clickjacking-Angriffe, indem es kontrolliert, ob eine Seite in einem Frame angezeigt werden darf.
- X-XSS-Protection: Aktiviert Schutzmechanismen gegen Cross-Site Scripting (XSS)-Angriffe.
Diese Header helfen dabei, verschiedene Arten von Angriffen zu verhindern und die Integrität und Sicherheit der Webseite zu erhöhen.
Eine gute Übersicht über die wichtigsten Befehle des Security-Headers und die Umsetzung auf Ihrer Website finden Sie hier:
Website-Sicherheit mit HTTP-Security-Header erhöhen
Bevor Sie aber mit der Umsetzung beginnen, testen Sie, ob Ihre Website bei der Einbindung der Befehle noch ordnungsgemäß funktioniert. Dann können Sie unter Security-Headers testen, ob Ihre Website gut geschützt ist. Ich empfehle übrigens die Einbindung in die .htaccess-Datei in dem WP-Verzeichnis auf dem Server, da bei mir die Einbindung in die functions.php ein negatives Testergebnis gab.