Hinzufügen von HTTP-Sicherheits-Headern in WordPress (Anleitung für Anfänger)
Möchten Sie HTTP-Sicherheits-Header in WordPress hinzufügen? Mit HTTP-Sicherheits-Headern können Sie Ihrer WordPress-Website eine zusätzliche Sicherheitsebene hinzufügen. Sie können dabei helfen, häufige bösartige Aktivitäten zu blockieren, die die Leistung Ihrer Website beeinträchtigen.
In dieser Anleitung für Einsteiger zeigen wir Ihnen, wie Sie HTTP-Sicherheits-Header in WordPress einfach hinzufügen können.
Was sind HTTP-Sicherheits-Header?
HTTP-Sicherheits-Header sind eine Sicherheitsmaßnahme, die es dem Server Ihrer Website ermöglicht, einige gängige Sicherheitsbedrohungen zu verhindern, bevor sie Ihre Website beeinträchtigen.
Grundsätzlich gilt: Wenn ein Benutzer Ihre Website besucht, sendet Ihr Webserver eine HTTP-Header-Antwort zurück an seinen Browser. Diese Antwort informiert den Browser über Fehlercodes, Cache-Kontrolle und andere Zustände. Die normale Header-Antwort gibt einen Status namens HTTP 200 aus.
Danach wird Ihre Website im Browser des Benutzers geladen. Wenn Ihre Website jedoch Schwierigkeiten hat, sendet Ihr Webserver möglicherweise einen anderen HTTP-Header. Lassen Sie uns einen kurzen Blick darauf werfen, wie HTTP-Sicherheits-Header aussehen und was sie zum Schutz Ihrer Website beitragen.
HTTP Strict Transport Security (HSTS)
Der HTTP Strict Transport Security (HSTS)-Header teilt Webbrowsern mit, dass Ihre Website HTTPs verwendet und nicht über ein unsicheres Protokoll wie HTTP geladen werden sollte. X-Frame-Options Der X-Frame-Options-Sicherheitsheader verhindert domänenübergreifende Iframes oder Click-Jacking. X-Content-Type-Options X-Content-Type-Options blockiert das Sniffing von Mime-Typ-Inhalten.
Schauen wir uns also an, wie man HTTP-Sicherheits-Header in WordPress einfach hinzufügen kann.
Hinzufügen von HTTP-Sicherheits-Headern in WordPress
HTTP-Sicherheits-Header funktionieren am besten, wenn sie auf Webserver-Ebene (d.h. So können sie bereits während einer typischen HTTP-Anfrage ausgelöst werden und bieten maximalen Nutzen. Wir zeigen Ihnen jede Methode, und Sie können diejenige auswählen, die für Sie am besten funktioniert.
Hier sind schnelle Links zu verschiedenen Methoden, Sie können zu derjenigen springen, die zu Ihnen passt.
Wenn Sie auch deren Website-Firewall-Service verwenden, können Sie HTTP-Sicherheits-Header setzen, ohne Code zu schreiben. Es handelt sich um einen kostenpflichtigen Service, der eine Website-Firewall auf Server-Ebene, ein Sicherheits-Plugin, ein CDN und eine Malware-Entfernungsgarantie enthält. Während der Anmeldung beantworten Sie einfache Fragen, und die Sucuri-Dokumentation hilft Ihnen bei der Einrichtung der Website Application Firewall auf Ihrer Website.
Nach der Anmeldung müssen Sie das kostenlose Sucuri-Plugin installieren und aktivieren.
Nach der Aktivierung gehen Sie auf die Seite Sucuri Security " Firewall (WAF) und geben Ihren Firewall-API-Schlüssel ein Sie finden diese Informationen unter Ihrem Konto auf der Sucuri-Website.
Klicken Sie auf die Schaltfläche Speichern, um Ihre Änderungen zu speichern. Als nächstes müssen Sie zum Dashboard Ihres Sucuri-Kontos wechseln. Klicken Sie hier oben auf das Menü Einstellungen und wechseln Sie dann auf die Registerkarte Sicherheit.
Von hier aus können Sie drei Regelsätze auswählen.
Den Standardschutz, HSTS und HSTS Full. Sie sehen, welche HTTP-Sicherheits-Header für jeden Satz von Regeln angewendet werden. Klicken Sie auf die Schaltfläche "Änderungen in den zusätzlichen Headern speichern", um Ihre Änderungen zu übernehmen. Das war's. Sucuri fügt nun Ihre ausgewählten HTTP-Sicherheits-Header in WordPress hinzu. Da es sich um eine WAF auf DNS-Ebene handelt, ist Ihr Website-Verkehr vor Hackern geschützt, noch bevor diese Ihre Website erreichen.
Hinzufügen von HTTP-Sicherheits-Headern in WordPress mit Cloudflare
Cloudflare bietet eine einfache kostenlose Website-Firewall und einen CDN-Service. Es fehlt an erweiterten Sicherheitsfunktionen in ihrem kostenlosen Plan, so dass Sie ein Upgrade auf ihren Pro-Plan benötigen, die teurer sind. Sobald Cloudflare auf Ihrer Website aktiv ist, gehen Sie zur SSL/TLS-Seite unter Ihrem Cloudflare-Konto-Dashboard und wechseln Sie dann zur Registerkarte Edge-Zertifikate.
Scrollen Sie nun nach unten zum Abschnitt HTTP Strict Transport Security (HSTS) und klicken Sie auf die Schaltfläche "Enable HSTS". Klicken Sie auf die Schaltfläche "Weiter", um fortzufahren, und Sie sehen die Optionen zum Hinzufügen von HTTP-Sicherheits-Headern.
Von hier aus können Sie HSTS, No-Sniff-Header aktivieren, HSTS auf Subdomains anwenden (wenn diese HTTPS verwenden) und HSTS vorladen. Diese Methode bietet einen grundlegenden Schutz mit HTTP-Sicherheits-Headern. Allerdings können Sie damit keine X-Frame-Options hinzufügen und Cloudflare hat keine Benutzeroberfläche, um dies zu tun. Sie können dies trotzdem tun, indem Sie ein Skript mit der Workers-Funktion erstellen.
Das Erstellen eines Skripts für HTTPS-Sicherheitsheader kann jedoch unerwartete Probleme für Anfänger verursachen, weshalb wir dies nicht empfehlen würden.
Hinzufügen von HTTP-Sicherheits-Headern in WordPress mit .htaccess
Mit dieser Methode können Sie die HTTP-Sicherheits-Header in WordPress auf der Serverebene festlegen.
Es handelt sich um eine Serverkonfigurationsdatei, die von der am häufigsten verwendeten Apache-Webserver-Software verwendet wird. Im Stammverzeichnis Ihrer Website müssen Sie die .htaccess-Datei suchen und bearbeiten.
Dadurch wird die Datei in einem einfachen Texteditor geöffnet.
Unten in der Datei können Sie den Code hinzufügen, um HTTPS-Sicherheits-Header zu Ihrer WordPress-Website hinzuzufügen.
Sie können den folgenden Beispielcode als Ausgangspunkt verwenden, er setzt die am häufigsten verwendeten HTTPs-Sicherheits-Header mit optimalen Einstellungen:
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS Header-Satz X-XSS-Protection "1; mode=block" Header-Satz X-Content-Type-Options nosniff Header-Satz X-Frame-Options DENY Header-Set Referrer-Policy: no-referrer-when-downgrade
Vergessen Sie nicht, Ihre Änderungen zu speichern und Ihre Website zu besuchen, um sicherzustellen, dass alles wie erwartet funktioniert.
4.Hinzufügen von HTTP-Sicherheits-Headern in WordPress mit einem Plugin
Diese Methode ist etwas weniger effektiv, da sie auf ein WordPress-Plugin angewiesen ist, um die Header zu ändern
Es ist jedoch auch der einfachste Weg, um HTTP-Sicherheits-Header zu Ihrer WordPress-Website hinzuzufügen.
Zunächst müssen Sie das Redirection-Plugin installieren und aktivieren.
Nach der Aktivierung zeigt das Plugin einen Einrichtungsassistenten an, dem Sie einfach folgen können, um das Plugin einzurichten. Gehen Sie danach auf die Seite Tools " Redirection und wechseln Sie auf den Reiter 'Site'
Als nächstes müssen Sie zum unteren Ende der Seite zum Abschnitt "HTTP-Header" scrollen und auf die Schaltfläche "Header hinzufügen" klicken. Wählen Sie aus dem Dropdown-Menü die Option "Sicherheitsvoreinstellungen hinzufügen".
Danach müssen Sie erneut darauf klicken, um diese Optionen hinzuzufügen.
Jetzt sehen Sie eine voreingestellte Liste von HTTP-Sicherheits-Headern in der Tabelle.
Diese Header sind für die Sicherheit optimiert, Sie können sie überprüfen und bei Bedarf ändern.
Wenn Sie fertig sind, vergessen Sie nicht, auf die Schaltfläche Aktualisieren zu klicken, um Ihre Änderungen zu speichern. Sie können nun Ihre Website besuchen, um sicherzustellen, dass alles einwandfrei funktioniert.
So prüfen Sie HTTP-Sicherheits-Header für eine Website
Nun haben Sie HTTP-Sicherheits-Header zu Ihrer Website hinzugefügt. Sie können Ihre Konfiguration mit dem kostenlosen Security Headers-Tool testen.
Geben Sie einfach die URL Ihrer Website ein und klicken Sie auf die Schaltfläche "Scannen".
Es prüft dann die HTTP-Sicherheits-Header Ihrer Website und zeigt Ihnen einen Bericht an.
Das Tool würde ein sogenanntes Grade-Label generieren, das Sie ignorieren können, da die meisten Websites bestenfalls eine B- oder C-Bewertung erhalten würden, ohne die Benutzerfreundlichkeit zu beeinträchtigen. Es wird Ihnen zeigen, welche HTTP-Sicherheits-Header von Ihrer Website gesendet werden und welche Sicherheits-Header nicht enthalten sind. Wenn die Sicherheits-Header, die Sie setzen wollten, dort aufgeführt sind, dann sind Sie fertig.
Das ist alles, wir hoffen, dass dieser Artikel Ihnen geholfen hat, zu lernen, wie man HTTP-Sicherheitsheader in WordPress hinzufügt.