Einer der wichtigsten Aspekte der Website-Sicherheit ist die Verwendung von HTTP-Sicherheits-Headern (HTTP Security-Headers). Durch die Verwendung von HTTP-Sicherheits-Headern kann eine Website vor einer Vielzahl von Angriffen geschützt werden. Erfahre hier, wie du deine Webseite eines einzigen WordPress Plugins viel sicherer machst.
Sicherheit von Webseiten im Allgemeinen
Sicherheit ist für jede Website wichtig. Es gibt viele Möglichkeiten, eine Website sicher zu machen, aber einige Grundlagen sind die Verwendung von HTTPS, ein starkes Passwort und die Aktualisierung der Software.
HTTPS ist der grundlegendste und wichtigste Schritt, um die Sicherheit einer Website zu gewährleisten. Es verschlüsselt den Datenverkehr zwischen der Website und dem Benutzer, was es für jemanden sehr viel schwieriger macht, den Datenverkehr abzuhören oder zu stören. Ein starkes Passwort ist ebenfalls wichtig, da es für jemanden sehr viel schwieriger ist, sich durch Erraten oder Brute-Force-Methoden Zugang zu Ihrer Website zu verschaffen. Schließlich ist es wichtig, die Software auf dem neuesten Stand zu halten, um sicherzustellen, dass Sie über die neuesten Sicherheitspatches und Funktionen verfügen. Dies sind nur einige der grundlegendsten und wichtigsten Maßnahmen für die Sicherheit Ihrer Website, aber es gibt noch viele weitere. Einen umfassenderen Leitfaden finden Sie in unserem Blogbeitrag über die Sicherheit von Websites.
Neben HTTPS gibt es eine Reihe weiterer Sicherheitsmaßnahmen, die man ergreifen kann, um eine Website noch besser zu schützen. Eine der wichtigsten Maßnahmen ist die Implementierung von Sicherheits-Headern.
Was sind Sicherheitsheader?
HTTP-Sicherheits-Header sind eine gute Möglichkeit, eine Website eine zusätzliche Sicherheitsebene zu verleihen. Die Sicherheitsheader können dazu beitragen, Angriffe wie Cross-Site Scripting (XSS) und Clickjacking zu verhindern.
In diesem Artikel werden wir einen kurzen Blick darauf werfen, was HTTP-Sicherheits-Header sind und wie sie zum Schutz deiner Website beitragen können.
Welche HTTP-Sicherheits-Header gibt es?
Die wichtigsten HTTP Header sind
- HTTP Strict Transport Security (HSTS)
- X‑Frame-Options, X‑Content-Type-Options
- Referrer-Policy
- Permissions-Policy
- Content-Security-Policy (CSP)
Sie helfen, Ihre Website vor Angriffen und Schwachstellen zu schützen. HTTP-Sicherheitsheader sind ein wichtiger Bestandteil der Website-Sicherheit. Sie helfen, Ihre Website vor Angriffen und Schwachstellen zu schützen.
HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS) ist ein Sicherheitsheader, der von Webservern an Webclients (z.B. Browsern) übermittelt wird, um zu verhindern, dass sensible Daten wie Cookies oder Login-Daten bei einem Man-in-the-Middle-Angriff abgefangen und manipuliert werden können.
Der HSTS-Header wird vom Webserver an den Client übermittelt und sagt dem Client, dass er bei allen weiteren Verbindungen zu diesem Server auf HTTPS umsteigen soll, und zwar unabhängig davon, ob der Client die entsprechende URL eingegeben hat oder nicht. Auf diese Weise wird sichergestellt, dass alle Kommunikation zwischen Client und Server verschlüsselt stattfindet und kein Angreifer die Daten abfangen oder manipulieren kann.
Der HSTS-Header kann auch verwendet werden, um sicherzustellen, dass ein Client nur auf Seiten zugreifen kann, die über ein gültiges SSL-Zertifikat verfügen. Dies verhindert, dass ein Angreifer eine gefälschte Seite mit einem gültigen SSL-Zertifikat erstellt und den Nutzer dazu verleitet, auf diese Seite zuzugreifen und sensible Daten einzugeben.
Der HSTS-Header ist ein wichtiger Teil der Sicherheitsstrategie einer Website und sollte daher immer verwendet werden, wenn eine Website HTTPS verwendet.
Weitergehende Informationen zu HSTS findest du hier: Was ist HSTS und wie führen Sie es ein? (globalsign.com)
X‑Frame-Options
X‑Frame-Options ist ein Header, der den Browser anweist, die Website nur in einem Frame auf derselben Website anzuzeigen. Dies dient dem Schutz vor Clickjacking-Angriffen.
X‑Content-Type-Options
X‑Content-Type-Options ist ein Header, der dem Browser mitteilt, dass er nur den im Header angegebenen Inhaltstyp verwenden soll. Dies trägt zum Schutz vor Angriffen bei, die Schwachstellen in der Handhabung des Inhaltstyps im Browser ausnutzen.
Referrer-Policy
Referrer-Policy ist ein Header, der den Browser anweist, die Referrer-Informationen nur an die im Header angegebene Website zu senden. Dadurch wird verhindert, dass Referrer-Informationen an Websites Dritter weitergegeben werden.
Permissions-Policy
Permissions-Policy ist ein Header, der dem Browser mitteilt, dass die Website nur die im Header angegebenen Berechtigungen verwenden darf. Dies trägt zum Schutz vor dem Fingerprinting von Websites bei.
Content-Security-Policy (CSP)
Content Security Policy (CSP) ist ein Header, mit dem du festlegen kannst, welche Inhaltsquellen auf deiner Website geladen werden dürfen. So kannst du beispielsweise mit CSP verhindern, dass der Browser externe JavaScript-Dateien lädt, oder nur JavaScript-Dateien aus bestimmten Quellen zulassen. CSP ist eine sehr wirksame Maßnahme gegen Cross-Site-Scripting (XSS)-Angriffe, da es den Browser am Laden bösartiger Inhalte hindern kann.
Sicherheit von WordPress-Webseiten
Wie sicher ist meine eigene Seite?
Soweit die Theorie. Doch wie setze ich das jetzt auf meiner Webseite richtig um?
Zunächst mal es es hilfreich, den Status Quo der eigenen Webseite zu ermitteln, damit man weiß, ob überhaupt Handlungsbedarf besteht.
Nach verschiedenen Suchmaschinen-Recherchen und zahlreichen Youtube-Videos zu dem Thema bin ich irgendwann auf tolles Tool zum überprüfen der Security Headers gestoßen, nämlich Security Headers von Probely.
Das Tool ist ganz einfach zu nutzen:
- Webseite https://securityheaders.com aufrufen (Link öffnet sich in neuem Fenster)
- gewünschte Domain in das Eingabefeld eintragen
- Wenn man zum ersten mal die eigene Webseite überprüft, empfiehlt es sich — meiner Meinung nach — ein Häkchen bei ‘Hide results’ unterhalb des Eingabefeldes anzukreuzen, andernfalls riskiert man, dass ein ggfs. schlechtes Ergebnis auf der Startseite von dem Tool unter ‘recent scans’ und ‘Hall of Shame’ angezeigt wird.
- Den Button ‘Scan’ klicken und schon wird das Ergebnis angezeigt
Bis heute dachte ich, dass meine Webseite gut abgesichert sei, denn ich hatte mich schon vor einem Jahr mal mit dem Thema beschäftigt.
Allerdings war das Ergebnis für meine Seite doch ziemlich erschreckend, nämlich ein enttäuschendes ‘F’.
Das richtige WordPress Plugin finden
Doch wie findet man jetzt eigentlich das richtige WordPress Plugin für den richtigen Zweck. Das ist eigentlich ganz einfach.
WordPress.org bietet auf der Webseite ein Plugin Verzeichnis an, dass du direkt über diesen Link https://de.wordpress.org/plugins/ erreichen kannst. (Du kannst dieses Verzeichnis aber auch direkt über deine WordPress Installation erreichen, wenn du im Administrationsbereich auf ‘Plugins’ klickst)
Im Plugin Verzeichnis suchst du nun einfach nach dem Begriff ‘HTTP Security-Headers’ (du kannst auch auf den folgenden Link klicken, dann öffnen sich die Suchergebnisse in einem neuen Tab:
Suchergebnisse für „HTTP Security-Headers“ | WordPress.org Deutsch
Wie man anhand des Screenshots unschwer sehen kann, gibt es gar nicht so viele Plugin, die sich speziell auf das Suchwort beziehen.
Ein Plugin sticht bei der Suche aber deutlich hervor, weil es auch mit der aktuesllsten Version nämlich WordPress 6.01 getestet wurde, nämlich der erste Treffer, das Plugin ‘Headers Security Advanced & HSTS WP’.
Das WordPress Plugin: Headers Security Advanced & HSTS WP
Das Plugin Headers Security Advanced & HSTS WP ist ein Sicherheits-Plugin für WordPress, das Websiten vor einer Reihe von Angriffen schützt. Das Plugin bietet eine Reihe von Sicherheitsfunktionen, welche die Website sicherer machen. Zu den Sicherheitsfunktionen des Plugins gehören Sicherheitsheader, HSTS (HTTP Strict Transport Security) und ein WordPress-spezifischer Sicherheitsmodus.
Und das Beste ist, dass du die Sicherheitsheader mit nur einem Klick mit dem WordPress HTTP Security Header Plugin einrichten kannst!
Ich habe das Plugin also installiert und danach meine Webseite noch einmal überprüft.
Und voilà: Ich habe ein fantastisches Ergebnis von A+
Sobald man ein solches Ergebnis erzielt, macht es natürlich Sinn die Abfrage auch nochmal ohne ‘Hide results’ zu machen, damit man in der Hall of Fame landet (ob das tatsächlich irgendwelche SEO-Vorteile bringt, kann ich nicht sagen. Es sieht aber zumindest schön aus :-))
Fazit: Mit dem Plugin ‘Headers Security Advanced & HSTS WP’ die Webseitensicherheit erhöhen
‘Headers Security Advanced & HSTS WP’ lohnt sich
Als Fazit kann ich festhalten, dass ein WordPress Plugin wie ‘Headers Security Advanced & HSTS WP’ in keiner WordPress Installation fehlen sollte. Die Installation dauert nur wenige Minuten und das Ergebnis kann sich sehen lassen:
Die Sicherheit meiner Webseite https://andreas.galatas.de wird jetzt jedenfalls mit A+ bewertet, wovon du dich durch Klick auf diesen Link
https://securityheaders.com/?q=andreas.galatas.de&followRedirects=on (Link öffnet in neuem Tab) hier live überzeugen kannst.
Und natürlich hab
Funktioniert auch in einer WordPress Multisite
Noch eine kurze (erfreuliche) Ergänzung für Leute, die ein WordPress Multisite-Netzwerk betreiben. Das Plugin funktioniert (zumindest bei mir) auch in einer Multisite-Umgebung. Und das Tolle: Wenn du das Plugin in einer Multisite-Umgebung installierst und netzwerkweit freischaltest, gelten die Einstellungen sofort für sämtliche Webseiten deiner Multisite. So konnte ich durch die Installation dieses Plugins mit nur einem einzigen Klick über 30 Webseiten von einer Bewertung von ‘F’ auf eine Bewertung von ‘A+’ aufwerten.
Ich bin jedenfalls begeistert von diesem WordPress Plugin 🙂
