security-header-vrbessern-von-f-auf-a

Erhöhe die Sicherheit deiner WordPress-Website mittels HTTP-Sicherheits-Headern mit nur einem Klick!

Ein­er der wichtig­sten Aspek­te der Web­site-Sicher­heit ist die Ver­wen­dung von HTTP-Sicher­heits-Head­ern (HTTP Secu­ri­ty-Head­ers). Durch die Ver­wen­dung von HTTP-Sicher­heits-Head­ern kann eine Web­site vor ein­er Vielzahl von Angrif­f­en geschützt wer­den. Erfahre hier, wie du deine Web­seite eines einzi­gen Word­Press Plu­g­ins viel sicher­er machst.

Sicherheit von Webseiten im Allgemeinen

Sicher­heit ist für jede Web­site wichtig. Es gibt viele Möglichkeit­en, eine Web­site sich­er zu machen, aber einige Grund­la­gen sind die Ver­wen­dung von HTTPS, ein starkes Pass­wort und die Aktu­al­isierung der Software.

HTTPS ist der grundle­gend­ste und wichtig­ste Schritt, um die Sicher­heit ein­er Web­site zu gewährleis­ten. Es ver­schlüs­selt den Daten­verkehr zwis­chen der Web­site und dem Benutzer, was es für jeman­den sehr viel schwieriger macht, den Daten­verkehr abzuhören oder zu stören. Ein starkes Pass­wort ist eben­falls wichtig, da es für jeman­den sehr viel schwieriger ist, sich durch Errat­en oder Brute-Force-Meth­o­d­en Zugang zu Ihrer Web­site zu ver­schaf­fen. Schließlich ist es wichtig, die Soft­ware auf dem neuesten Stand zu hal­ten, um sicherzustellen, dass Sie über die neuesten Sicher­heitspatch­es und Funk­tio­nen ver­fü­gen. Dies sind nur einige der grundle­gend­sten und wichtig­sten Maß­nah­men für die Sicher­heit Ihrer Web­site, aber es gibt noch viele weit­ere. Einen umfassenderen Leit­faden find­en Sie in unserem Blog­beitrag über die Sicher­heit von Websites.

Neben HTTPS gibt es eine Rei­he weit­er­er Sicher­heits­maß­nah­men, die man ergreifen kann, um eine Web­site noch bess­er zu schützen. Eine der wichtig­sten Maß­nah­men ist die Imple­men­tierung von Sicherheits-Headern. 

Was sind Sicherheitsheader?

HTTP-Sicher­heits-Head­er sind eine gute Möglichkeit, eine Web­site eine zusät­zliche Sicher­heit­sebene zu ver­lei­hen. Die Sicher­heit­shead­er kön­nen dazu beitra­gen, Angriffe wie Cross-Site Script­ing (XSS) und Click­jack­ing zu verhindern.

In diesem Artikel wer­den wir einen kurzen Blick darauf wer­fen, was HTTP-Sicher­heits-Head­er sind und wie sie zum Schutz dein­er Web­site beitra­gen können.

Welche HTTP-Sicherheits-Header gibt es?

Die wichtig­sten HTTP Head­er sind

  • HTTP Strict Trans­port Secu­ri­ty (HSTS)
  • X‑Frame-Options, X‑Con­tent-Type-Options
  • Refer­rer-Pol­i­cy
  • Per­mis­sions-Pol­i­cy
  • Con­tent-Secu­ri­ty-Pol­i­cy (CSP)

Sie helfen, Ihre Web­site vor Angrif­f­en und Schwach­stellen zu schützen. HTTP-Sicher­heit­shead­er sind ein wichtiger Bestandteil der Web­site-Sicher­heit. Sie helfen, Ihre Web­site vor Angrif­f­en und Schwach­stellen zu schützen. 

HTTP Strict Trans­port Secu­ri­ty (HSTS) ist ein Sicher­heit­shead­er, der von Web­servern an Web­clients (z.B. Browsern) über­mit­telt wird, um zu ver­hin­dern, dass sen­si­ble Dat­en wie Cook­ies oder Login-Dat­en bei einem Man-in-the-Mid­dle-Angriff abge­fan­gen und manip­uliert wer­den können.

Der HSTS-Head­er wird vom Web­serv­er an den Client über­mit­telt und sagt dem Client, dass er bei allen weit­eren Verbindun­gen zu diesem Serv­er auf HTTPS umsteigen soll, und zwar unab­hängig davon, ob der Client die entsprechende URL eingegeben hat oder nicht. Auf diese Weise wird sichergestellt, dass alle Kom­mu­nika­tion zwis­chen Client und Serv­er ver­schlüs­selt stat­tfind­et und kein Angreifer die Dat­en abfan­gen oder manip­ulieren kann.

Der HSTS-Head­er kann auch ver­wen­det wer­den, um sicherzustellen, dass ein Client nur auf Seit­en zugreifen kann, die über ein gültiges SSL-Zer­ti­fikat ver­fü­gen. Dies ver­hin­dert, dass ein Angreifer eine gefälschte Seite mit einem gülti­gen SSL-Zer­ti­fikat erstellt und den Nutzer dazu ver­leit­et, auf diese Seite zuzu­greifen und sen­si­ble Dat­en einzugeben.

Der HSTS-Head­er ist ein wichtiger Teil der Sicher­heitsstrate­gie ein­er Web­site und sollte daher immer ver­wen­det wer­den, wenn eine Web­site HTTPS verwendet.

Weit­erge­hende Infor­ma­tio­nen zu HSTS find­est du hier: Was ist HSTS und wie führen Sie es ein? (globalsign.com)

X‑Frame-Options

X‑Frame-Options ist ein Head­er, der den Brows­er anweist, die Web­site nur in einem Frame auf der­sel­ben Web­site anzuzeigen. Dies dient dem Schutz vor Clickjacking-Angriffen.

X‑Content-Type-Options

X‑Con­tent-Type-Options ist ein Head­er, der dem Brows­er mit­teilt, dass er nur den im Head­er angegebe­nen Inhalt­styp ver­wen­den soll. Dies trägt zum Schutz vor Angrif­f­en bei, die Schwach­stellen in der Hand­habung des Inhalt­styps im Brows­er ausnutzen.

Referrer-Policy

Refer­rer-Pol­i­cy ist ein Head­er, der den Brows­er anweist, die Refer­rer-Infor­ma­tio­nen nur an die im Head­er angegebene Web­site zu senden. Dadurch wird ver­hin­dert, dass Refer­rer-Infor­ma­tio­nen an Web­sites Drit­ter weit­ergegeben werden.

Permissions-Policy

Per­mis­sions-Pol­i­cy ist ein Head­er, der dem Brows­er mit­teilt, dass die Web­site nur die im Head­er angegebe­nen Berech­ti­gun­gen ver­wen­den darf. Dies trägt zum Schutz vor dem Fin­ger­print­ing von Web­sites bei.

Content-Security-Policy (CSP)

Con­tent Secu­ri­ty Pol­i­cy (CSP) ist ein Head­er, mit dem du fes­tle­gen kannst, welche Inhalt­squellen auf dein­er Web­site geladen wer­den dür­fen. So kannst du beispiel­sweise mit CSP ver­hin­dern, dass der Brows­er externe JavaScript-Dateien lädt, oder nur JavaScript-Dateien aus bes­timmten Quellen zulassen. CSP ist eine sehr wirk­same Maß­nahme gegen Cross-Site-Script­ing (XSS)-Angriffe, da es den Brows­er am Laden bösar­tiger Inhalte hin­dern kann.

Sicherheit von WordPress-Webseiten

Wie sicher ist meine eigene Seite?

Soweit die The­o­rie. Doch wie set­ze ich das jet­zt auf mein­er Web­seite richtig um?

Zunächst mal es es hil­fre­ich, den Sta­tus Quo der eige­nen Web­seite zu ermit­teln, damit man weiß, ob über­haupt Hand­lungs­be­darf besteht.

Nach ver­schiede­nen Such­maschi­nen-Recherchen und zahlre­ichen Youtube-Videos zu dem The­ma bin ich irgend­wann auf tolles Tool zum über­prüfen der Secu­ri­ty Head­ers gestoßen, näm­lich Secu­ri­ty Head­ers von Probely.

Mith­il­fe der Seite securityheaders.com kann man check­en, ob die HTTP-Sicher­heits-Head­er auf ein­er Web­seite richtig ein­gerichtet sind.

Das Tool ist ganz ein­fach zu nutzen:

  1. Web­seite https://securityheaders.com aufrufen (Link öffnet sich in neuem Fenster)
  2. gewün­schte Domain in das Eingabefeld eintragen
  3. Wenn man zum ersten mal die eigene Web­seite über­prüft, emp­fiehlt es sich — mein­er Mei­n­ung nach — ein Häkchen bei ‘Hide results’ unter­halb des Eingabefeldes anzukreuzen, andern­falls riskiert man, dass ein ggfs. schlecht­es Ergeb­nis auf der Start­seite von dem Tool unter ‘recent scans’ und ‘Hall of Shame’ angezeigt wird.
  4. Den But­ton ‘Scan’ klick­en und schon wird das Ergeb­nis angezeigt

Bis heute dachte ich, dass meine Web­seite gut abgesichert sei, denn ich hat­te mich schon vor einem Jahr mal mit dem The­ma beschäftigt.

Allerd­ings war das Ergeb­nis für meine Seite doch ziem­lich erschreck­end, näm­lich ein ent­täuschen­des ‘F’.

Sicher­heits-Check von andreas.galatas.de mit securityheader.com vor Instal­la­tion und Aktivierung von dem Word­Press-Plu­g­in ‘Head­ers Secu­ri­ty Advanced & HSTS WP’

Das richtige WordPress Plugin finden

Doch wie find­et man jet­zt eigentlich das richtige Word­Press Plu­g­in für den richti­gen Zweck. Das ist eigentlich ganz einfach.

WordPress.org bietet auf der Web­seite ein Plu­g­in Verze­ich­nis an, dass du direkt über diesen Link https://de.wordpress.org/plugins/ erre­ichen kannst. (Du kannst dieses Verze­ich­nis aber auch direkt über deine Word­Press Instal­la­tion erre­ichen, wenn du im Admin­is­tra­tions­bere­ich auf ‘Plu­g­ins’ klickst)

Im Plu­g­in Verze­ich­nis suchst du nun ein­fach nach dem Begriff ‘HTTP Secu­ri­ty-Head­ers’ (du kannst auch auf den fol­gen­den Link klick­en, dann öff­nen sich die Suchergeb­nisse in einem neuen Tab:

Suchergeb­nisse für „HTTP Secu­ri­ty-Head­ers“ | WordPress.org Deutsch

Wie man anhand des Screen­shots unschw­er sehen kann, gibt es gar nicht so viele Plu­g­in, die sich speziell auf das Such­wort beziehen.

Ein Plu­g­in sticht bei der Suche aber deut­lich her­vor, weil es auch mit der aktues­ll­sten Ver­sion näm­lich Word­Press 6.01 getestet wurde, näm­lich der erste Tre­f­fer, das Plu­g­in ‘Head­ers Secu­ri­ty Advanced & HSTS WP’.

Das WordPress Plugin: Headers Security Advanced & HSTS WP

Das Plu­g­in Head­ers Secu­ri­ty Advanced & HSTS WP ist ein Sicher­heits-Plu­g­in für Word­Press, das Web­siten vor ein­er Rei­he von Angrif­f­en schützt. Das Plu­g­in bietet eine Rei­he von Sicher­heits­funk­tio­nen, welche die Web­site sicher­er machen. Zu den Sicher­heits­funk­tio­nen des Plu­g­ins gehören Sicher­heit­shead­er, HSTS (HTTP Strict Trans­port Secu­ri­ty) und ein Word­Press-spez­i­fis­ch­er Sicherheitsmodus.

Und das Beste ist, dass du die Sicher­heit­shead­er mit nur einem Klick mit dem Word­Press HTTP Secu­ri­ty Head­er Plu­g­in ein­richt­en kannst!

Ich habe das Plu­g­in also instal­liert und danach meine Web­seite noch ein­mal überprüft.

Und voilà: Ich habe ein fan­tastis­ches Ergeb­nis von A+

Sicher­heits-Check von andreas.galatas.de mit securityheader.com nach Instal­la­tion und Aktivierung von dem Word­Press-Plu­g­in ‘Head­ers Secu­ri­ty Advanced & HSTS WP’

Sobald man ein solch­es Ergeb­nis erzielt, macht es natür­lich Sinn die Abfrage auch nochmal ohne ‘Hide results’ zu machen, damit man in der Hall of Fame lan­det (ob das tat­säch­lich irgendwelche SEO-Vorteile bringt, kann ich nicht sagen. Es sieht aber zumin­d­est schön aus :-))

Web­seite andreas.galatas.de in der ‘Hall of Fame’ von securityheaders.com

Fazit: Mit dem Plugin ‘Headers Security Advanced & HSTS WP’ die Webseitensicherheit erhöhen

‘Headers Security Advanced & HSTS WP’ lohnt sich

Als Faz­it kann ich fes­thal­ten, dass ein Word­Press Plu­g­in wie ‘Head­ers Secu­ri­ty Advanced & HSTS WP’ in kein­er Word­Press Instal­la­tion fehlen sollte. Die Instal­la­tion dauert nur wenige Minuten und das Ergeb­nis kann sich sehen lassen:

Die Sicher­heit mein­er Web­seite https://andreas.galatas.de wird jet­zt jeden­falls mit A+ bew­ertet, wovon du dich durch Klick auf diesen Link

https://securityheaders.com/?q=andreas.galatas.de&followRedirects=on (Link öffnet in neuem Tab) hier live überzeu­gen kannst.

Und natür­lich hab 

Funktioniert auch in einer WordPress Multisite

Noch eine kurze (erfreuliche) Ergänzung für Leute, die ein Word­Press Mul­ti­site-Net­zw­erk betreiben. Das Plu­g­in funk­tion­iert (zumin­d­est bei mir) auch in ein­er Mul­ti­site-Umge­bung. Und das Tolle: Wenn du das Plu­g­in in ein­er Mul­ti­site-Umge­bung instal­lierst und net­zw­erk­weit freis­chal­test, gel­ten die Ein­stel­lun­gen sofort für sämtliche Web­seit­en dein­er Mul­ti­site. So kon­nte ich durch die Instal­la­tion dieses Plu­g­ins mit nur einem einzi­gen Klick über 30 Web­seit­en von ein­er Bew­er­tung von ‘F’ auf eine Bew­er­tung von ‘A+’ aufw­erten.

Ich bin jeden­falls begeis­tert von diesem Word­Press Plugin 🙂