WordPress, SEO, Security, PageSpeed, CSS, Arbeitsabläufe

HTTP Header über htaccess einstellen
Share on facebook
Share on twitter
Share on linkedin
Share on pinterest
Share on whatsapp
Share on email

HTTP Security Header für die .htaccess Datei

Themen auf dieser Seite

Ich checke die Websites meiner Kunden gerade für die DSGVO auf ihre technische Sicherheit. Was auf allen Websites richtig schlecht ist, sind die HTTP Header. SIWECOS* empfiehlt folgende Einstellungen für die .htaccess Datei:

#START HTTP Security Header

#Content Security Policy - CSP-HEADER
# Lade Inhalte nur von Seiten die explizit erlaubt sind
# Beispiel: Alles von der eigenen Domain erlauben, keine Externas:
Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self'; img-src 'self'; object-src 'self'; script-src 'self'; style-src 'self';"

#HTTP Content-Types
AddCharset UTF-8 .html

#Public Key Pins
Header set Public-Key-Pins "pin-sha256=\"base64+primary==\"; pin-sha256=\"base64+backup==\"; max-age=5184000; includeSubDomains"

#Strict-Transport-Security
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"

#X-Content-Type-Options
Header always set X-Content-Type-Options "nosniff"

#X-Frame-Options
Header always set X-Frame-Options "SAMEORIGIN"

#X-Xss-Protection
Header always set X-Xss-Protection "1; mode=block"

#Referrer-Policy
Header set Referrer-Policy "strict-origin"

#END HTTP Security Header

Aufpassen bei dem ersten Block (CSP-Header)! Den müsst ihr anpassen oder raus nehmen, sonst funktioniert eure Website nicht mehr. Unter diesem Link könnt ihr euren CSP-Header generieren: https://report-uri.com/home/generate

Am besten diese Vorlage so lange anpassen und bei SIWECOS testen, bis es passt.


*SIWECOS ist ein kostenloser Dienst zum Website-Monitoring und sehr zu empfehlen. Weitere Infos unter https://siwecos.de

Teile das mit deinen Kollegen

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest
Share on whatsapp
Share on email

Feedback willkommen

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (5 Stimme(n), Durchschnitt: 4,80 von 5)
Loading...

3 Antworten

  1. Toller Beitrag, HTTP Header werden in der IT-Sicherheit extrem unterschätzt und sollten eigentlich bei jedem Webprojekt geprüft werden.
    Hier findet meines Erachtens immer die größte Manipulation beim Nutzer statt, aber die wenigsten Unternehmen schützen ausreichend.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Beiträge interessieren dich vielleicht auch

Cyber Security
Tools & Ressourcen

Wie sicher ist deine Website?

Warum ist es wichtig für die Sicherheit der eigenen Website zu sorgen? Es liegt im Interesse der Allgemeinheit, denn eine schlecht gesicherte Website kann gehackt

Mehr erfahren »