JV Webdesign BLOG

WordPress, Produktivität, Marketing, How-To
HTTP Header über htaccess einstellen

HTTP Security Header für die .htaccess Datei

Inhaltsangabe

Als ich 2018 die Websites meiner Kunden für die DSGVO auf technische Sicherheit geprüft habe, war ein Wert auf allen Websites richtig schlecht: der für die HTTP Security Header.

Copy & Paste Snippet für die .htaccess Datei

SIWECOS* empfiehlt folgende Einstellungen für die .htaccess Datei:

				
					#START HTTP Security Header

#Content Security Policy - CSP-HEADER
# Lade Inhalte nur von Seiten die explizit erlaubt sind
# Beispiel: Alles von der eigenen Domain erlauben, keine Externas:
Header set Content-Security-Policy "frame-ancestors 'self'; base-uri 'self'; default-src 'none'; form-action 'self'; img-src 'self' https://julia-vicentini.de data:; font-src 'self' data:; object-src 'none'; script-src 'self' '; style-src 'self';"

#HTTP Content-Types
AddCharset UTF-8 .html

#Public Key Pins
Header set Public-Key-Pins "pin-sha256=\"base64+primary==\"; pin-sha256=\"base64+backup==\"; max-age=5184000; includeSubDomains"

#Strict-Transport-Security
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"

#X-Content-Type-Options
Header always set X-Content-Type-Options "nosniff"

#X-Frame-Options
Header always set X-Frame-Options "SAMEORIGIN"

#X-Xss-Protection
Header always set X-Xss-Protection "1; mode=block"

#Referrer-Policy
Header set Referrer-Policy "no-referrer"

#END HTTP Security Header
				
			

Aufpassen bei dem ersten Block (CSP-Header)! Du musst meine Domain gegen deine austauschen! Wenn deine Website nicht mehr funktioniert, nimm den CSP Header raus oder passe ihn weiter an. Unter diesem Link kannst du deinen CSP-Header generieren: https://report-uri.com/home/generate

Am besten diese Vorlage so lange anpassen und bei SIWECOS oder Webbkoll testen, bis es passt.

webbkoll csp http security header webdesign flensburg
Juhuu! Geschafft!

Security Header Tipp für WordPress Websites

Der CSP Header wird dein WordPress Backup lahm legen. Ich nutze das Plugin NinjaFirewall. Unter Firewall Policies –> Advanced Policies kannst du deine HTTP Security Header setzen. Und auch sehr komfortabel unterschiedliche CSP Header für Frontend und Backend einfügen und an- und ausschalten. Ich habe bisher noch keinen CSP Header gefunden, der das WordPress Backend nicht stört. Deshalb schalte ich die Header aus, wenn ich an der Website arbeiten will. Danach schalte ich sie wieder ein.


*SIWECOS ist ein kostenloser Dienst zum Website-Monitoring und sehr zu empfehlen. Weitere Infos unter https://siwecos.de

Kommentare

3 Antworten

  1. Toller Beitrag, HTTP Header werden in der IT-Sicherheit extrem unterschätzt und sollten eigentlich bei jedem Webprojekt geprüft werden.
    Hier findet meines Erachtens immer die größte Manipulation beim Nutzer statt, aber die wenigsten Unternehmen schützen ausreichend.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Newsletter abonnieren

Diese Beiträge interessieren dich vielleicht auch

Diese Website nutzt, wie in meinen Datenschutzhinweisen beschrieben, teilweise technisch erforderliche Cookies - keine Tracking- oder Werbe-Cookies.