Bekommt ihr auch eine Sicherheitswarung unter WordPress, die
so aussieht wie hier? Die Unterseite mit dem Warnhinweis ist über das Menü im Adminbereich über
Werkzeuge-> Website-Zustand (www.euredomainname.de/wp-admin/site-health.php) erreichbar.
Es sind nicht alle empfohlenen Sicherheits-Header installiert
Deine Website sendet nicht alle empfohlenen Sicherheits-Header.
Upgrade Insecure Requests
X-XSS protection
X-Content Type Options
Referrer-Policy
X-Frame-Options
Permissions-Policy
HTTP Strict Transport Security
Erfahre mehr über Sicherheits-Header.
Was sind HTTP Security-Header?
HTTP-Sicherheitsheader sind eine Sicherheitsfunktion, die es dem Server, auf dem Ihre Website ausgeführt wird, ermöglicht, bestimmte allgemeine Sicherheitsbedenken zu beseitigen, bevor sie sich auf Ihre Website auswirken.
Im Wesentlichen antwortet Ihr Webserver dem Browser eines Benutzers mit einer HTTP-Header-Antwort, wenn dieser eure Website besucht. Browser werden durch diese Antwort über Fehlercodes, Cache-Verwaltung und andere Bedingungen informiert.
HTTP 200 ist der Antwortstatuscode für die typische Header-Antwort. Der Browser des Benutzers lädt dann eure Webseite. Wenn es jedoch ein Problem mit eurer Website gibt, kann euer Webserver einen anderen HTTP-Header übertragen.
Es kann zum Beispiel einen 404 nicht gefunden Fehler oder ein 500 internes Serverproblem liefern.
Eine Teilmenge dieser Header, die als HTTP-Sicherheitsheader bezeichnet werden, wird verwendet, um Websites vor typischen Sicherheitsrisiken wie Cross-Site-Scripting, Brute-Force-Angriffen und mehr zu schützen.
Lasst uns einen kurzen Blick darauf werfen, wie HTTP-Sicherheitsheader zum Schutz eurer Website erscheinen und funktionieren.
HTTP Strict Transport Security (HSTS) also Strikte Transportsicherheit über HTTP (HSTS)
Webbrowser werden durch den HTTP Strict Transport Security (HSTS)-Header darüber informiert, dass eure Website HTTPS verwendet und nicht über ein unsicheres Protokoll wie HTTP geladen werden sollte.
Mit diesem Sicherheitsheader könnt ihr verhindern, dass Browser eure Website auf HTTP ladet, wenn ihr eure WordPress-Website von HTTP auf HTTPs umgestellt habt.
X-XSS-Verteidigung – X-XSS Protection
Sie können verhindern, dass Cross-Site-Scripting auf Ihrer WordPress-Website geladen wird, indem Sie den Header X-XSS Protection verwenden.
X-Frame-Optionen
Der X-Frame-Options-Sicherheitsheader schützt vor Clickjacking und domänenübergreifenden iFrames.
X-Content-Type-Optionen – X-Content-Type-Options
Das Sniffing von Inhalts-Mime-Typen wird durch X-Content-Type-Options verhindert.
Schauen wir uns an, wie einfach es ist, HTTP-Sicherheitsheader zu WordPress hinzuzufügen.
WordPress-Benutzer können HTTP-Sicherheitsheader hinzufügen HTTP-Sicherheitsheader funktionieren am besten, wenn sie auf Webserverebene (d. h. eurem WordPress-Hosting-Konto) angegeben werden. Dadurch haben sie die besten Chancen, frühzeitig während einer normalen HTTP-Anfrage aktiviert zu werden.
Löung1: HTTP-Sicherheitsheadern in WordPress mit .htaccess hinzufügen – Fortgeschritten
Mit dieser Technik könnt ihr die HTTP-Sicherheitsheader von WordPress auf Serverebene ändern.
Ihr müsst die erforderlichen Änderungen an der .htaccess-Datei eurer Website vornehmen. Es ist eine Serverkonfigurationsdatei, die von Apache, dem beliebtesten Webserver, verwendet wird.
Verwendet einen FTP-Client oder die Dateiverwaltungsanwendung in eurem Hosting-Kontrollfeld, um sich einfach mit eurer Website zu verbinden. Ihr müsst die .htaccess-Datei finden und ändern, die sich im Stammordner eurer Website befindet.
Sichert aber vorher die .htaccess-Datei ab!!!
Dadurch wird ein einfacher Texteditor gestartet und die Datei geöffnet. Ihr könnt den Code zum Hinzufügen von HTTPS-Sicherheitsheadern zu eurer WordPress-Website am Ende der Datei hinzufügen.
Der folgende Beispielcode kann als Ausgangspunkt verwendet werden, da er die gängigsten HTTPs-Sicherheitsheader mit den bestmöglichen Einstellungen festlegt.
Denkt daran, euer Änderungen zu speichern, und überprüft dann eure Website, um sicherzustellen, dass alles so funktioniert, wie es sollte.
Erinnerung: Auf den meisten Webservern können 500 Internal Server Errors durch falsche Header oder Konflikte in der .htaccess-Datei verursacht werden.
Lösung 2: HTTP-Sicherheitsheadern in WordPress mithilfe des Plugins hinzufügen – Anfänger
Dieser Ansatz verwendet ein WordPress-Plugin, um die Header zu ändern, was ihn etwas weniger effizient macht. Es ist jedoch auch die einfachste Methode, um HTTP-Sicherheitsheader auf eurer WordPress-Website einzufügen. Dazu müsst ihr euch das Redirection-Plugin installieren.
Das Plugin zeigt bei Aktivierung einen Einrichtungsassistenten an, dem ihr einfach folgen könnt, um das Plugin einzurichten. Geht danach auf der Seite Werkzeuge -> Redirection Auf den Reiter Website.
Danch scroolt nach ganz unten unter HTTP Headers Header hinzufügen die Option Sicherhietsvoreinstellungen hinzufügen auswählen.
Ihr müsst dann erneut darauf klicken, um diese Auswahlmöglichkeiten hinzuzufügen. Die Tabelle enthält nun eine vorab ausgefüllte Liste mit HTTP-Sicherheitsheadern.
Ihr könnt diese sicherheitsoptimierten Header nach Bedarf auswerten und ändern. Vergesst nicht, auf die Schaltfläche Aktualisieren zu klicken, um eure Änderungen zu speichern, wenn ihr fertig seid.
Ihr könnt jetzt überprüfen, ob alles ordnungsgemäß funktioniert, indem ihr eure Website besucht.
Wir hoffen, unsere Artikel konnten euch bei eurer Problemlösung helfen? Wenn ihr unsere Arbeit unterstützen möchtet, würden wir uns über eine kleine PayPal-Kaffeespende freuen. Vielen Dank!
