Hinzufügen von HTTP-Sicherheits-Headern in WordPress (Anleitung für Anfänger)

Möchten Sie HTTP-Sicherheits-Header in WordPress hinzufügen?

HTTP-Sicherheits-Header ermöglichen es Ihnen, Ihrer WordPress-Website eine zusätzliche Sicherheitsebene hinzuzufügen. Sie können dazu beitragen, häufige bösartige Aktivitäten zu blockieren, die die Leistung Ihrer Website beeinträchtigen.

In dieser Anleitung für Einsteiger zeigen wir Ihnen, wie Sie HTTP-Sicherheits-Header in WordPress hinzufügen können.

Was sind HTTP-Sicherheits-Header?

HTTP-Sicherheits-Header sind eine Sicherheitsmaßnahme, die es dem Server Ihrer Website ermöglicht, einige gängige Sicherheitsbedrohungen zu verhindern, bevor sie Ihre Website beeinträchtigen können.

Wenn ein Nutzer Ihre Website besuchtWordPress-Websitesendet Ihr Webserver eine HTTP-Header-Antwort an den jeweiligen Browser. Diese Antwort informiert den Browser über Fehlercodes, Cache-Kontrolle und andere Zustände.

Die normale Header-Antwort gibt einen Status namens HTTP 200 aus. Danach wird Ihre Website im Browser des Benutzers geladen. Wenn Ihre Website jedoch Schwierigkeiten hat, kann Ihr Webserver einen anderen HTTP-Header senden.

Sie kann zum Beispiel eine500 interner Serverfehler oder eine404-Fehler nicht gefunden Code.

HTTP-Sicherheits-Header sind eine Teilmenge dieser Header. Sie werden verwendet, um Websites vor gängigen Bedrohungen wie Click-Jacking und Cross-Site-Scripting zu schützen,Brute-Force-Angriffeund mehr.

Werfen wir einen kurzen Blick auf einige HTTP-Sicherheits-Header und wie sie Ihre Website schützen:

• HTTP Strict Transport Security (HSTS) sagt Webbrowsern, dassIhre Website verwendet HTTPS und sollte nicht über ein unsicheres Protokoll wie HTTP geladen werden.
• X-XSS-Schutz ermöglicht es Ihnen, das Laden von Cross-Site-Skripten zu verhindern.
• X-Frame-Options verhindert domänenübergreifende Iframes oder Click-Jacking.
• X-Content-Type-Options X-Content-Type-Options blockiert das Ausspähen von Mime-Typ-Inhalten.

HTTP-Sicherheits-Header funktionieren am besten, wenn sie auf Webserver-Ebene festgelegt werden, was bedeutet, dass IhreWordPress-Hosting Konto. Auf diese Weise können sie bereits zu einem frühen Zeitpunkt während einer typischen HTTP-Anfrage ausgelöst werden und einen maximalen Nutzen bringen.

Sie funktionieren noch besser, wenn Sie eine DNS-Ebene verwendenWebsite-Anwendungs-Firewall wieSucuri oder Cloudflare.

Werfen wir also einen Blick darauf, wie man HTTP-Sicherheits-Header in WordPress einfach hinzufügen kann. Hier finden Sie kurze Links zu verschiedenen Methoden, damit Sie die für Sie passende auswählen können:

1. Hinzufügen von HTTP-Sicherheits-Headern in WordPress mit Sucuri

Sucuri ist eine derbeste WordPress-Sicherheits-Plugins auf dem Markt. Wenn Sie den Website-Firewall-Dienst nutzen, können Sie HTTP-Sicherheits-Header festlegen, ohne Code schreiben zu müssen.

Zunächst müssen Sie sich für eineSucuri Konto. Es handelt sich um einen kostenpflichtigen Dienst, der eine Website-Firewall auf Serverebene, ein Sicherheits-Plugin, ein CDN und eine Garantie für die Entfernung von Malware beinhaltet.

Während der Anmeldung müssen Sie einfache Fragen beantworten, und die Sucuri-Dokumentation hilft Ihnen bei der Einrichtung der Website Application Firewall auf Ihrer Website.

Nach der Anmeldung müssen Sie die kostenlose Software installieren und aktivieren.Sucuri-Plugin. Weitere Einzelheiten finden Sie in unserer Schritt-für-Schritt-Anleitung aufwie man ein WordPress-Plugin installiert.

Nach der Aktivierung müssen Sie zuSucuri Sicherheit “ Firewall (WAF) und geben Sie Ihren Firewall-API-Schlüssel ein. Sie finden diese Informationen unter Ihrem Konto auf der Sucuri-Website.

Danach müssen Sie auf die grüne Schaltfläche „Speichern“ klicken, um Ihre Änderungen zu speichern.

Als nächstes müssen Sie zum Dashboard Ihres Sucuri-Kontos wechseln. Klicken Sie oben auf das Menü „Einstellungen“ und wechseln Sie dann auf die Registerkarte „Sicherheit“.

Hier können Sie drei Regelsätze auswählen. Der Standardschutz ist für die meisten Websites gut geeignet.

Wenn Sie einen Professional- oder Business-Tarif haben, stehen Ihnen auch Optionen für HSTS und HSTS Full zur Verfügung. Sie können sehen, welche HTTP-Sicherheits-Header für jeden Satz von Regeln angewendet werden.

Sie müssen auf die Schaltfläche „Änderungen in den zusätzlichen Kopfzeilen speichern“ klicken, um Ihre Änderungen zu übernehmen.

Sucuri fügt nun die von Ihnen ausgewählten HTTP-Sicherheits-Header in WordPress hinzu. Da es sich um eine WAF auf DNS-Ebene handelt, ist Ihr Website-Verkehr vor Hackern geschützt, noch bevor diese Ihre Website erreichen.

2. Hinzufügen von HTTP-Sicherheits-Headern in WordPress mit Cloudflare

Cloudflare bietet eine grundlegende kostenlose Website-Firewall und einen CDN-Dienst. Es fehlt an erweiterten Sicherheitsfunktionen in seinem kostenlosen Plan, so dass Sie auf seinen Pro-Plan upgraden müssen, der teurer ist.

Wie Sie Cloudflare zu Ihrer Website hinzufügen können, erfahren Sie in unserem Tutorial aufwie man das kostenlose Cloudflare CDN in WordPress einrichtet.

Sobald Cloudflare auf Ihrer Website aktiv ist, müssen Sie auf die SSL/TLS-Seite in Ihrem Cloudflare-Konto-Dashboard gehen und dann auf die Registerkarte „Edge-Zertifikate“ wechseln.

Blättern Sie nun nach unten zum Abschnitt „HTTP Strict Transport Security (HSTS)“.

Sobald Sie es gefunden haben, müssen Sie auf die Schaltfläche „HSTS aktivieren“ klicken.

Daraufhin erscheint ein Popup-Fenster mit Anweisungen, dass Sie Folgendes tun müssenHTTPS aktiviert haben auf Ihrer Website, bevor Sie diese Funktion nutzen.

Wenn IhrWordPress-Blog bereits eine sichere HTTPS-Verbindung hat, können Sie auf die Schaltfläche „Weiter“ klicken, um fortzufahren. Sie sehen nun die Optionen zum Hinzufügen von HTTP-Sicherheits-Headern.

Von hier aus können Sie HSTS aktivieren, HSTS auf Subdomänen anwenden (wenn die Subdomänen HTTPS verwenden), HSTS vorladen und No-Sniff-Header aktivieren.

Diese Methode bietet einen grundlegenden Schutz durch HTTP-Sicherheits-Header. Sie ermöglicht jedoch nicht das Hinzufügen von X-Frame-Options, und Cloudflare verfügt nicht über eine Benutzeroberfläche, um dies zu tun.

Sie können dies immer noch tun, indem Sie ein Skript mit der OptionCloudflare-Arbeiter Funktion. Wir empfehlen dies jedoch nicht, da die Erstellung eines HTTPS-Sicherheitsheader-Skripts für Anfänger unerwartete Probleme verursachen kann.

3. Hinzufügen von HTTP-Sicherheits-Headern in WordPress mit .htaccess

Mit dieser Methode können Sie die HTTP-Sicherheitsheader in WordPress auf Serverebene festlegen.

Es erfordert die Bearbeitung der.htaccess-Datei auf Ihrer Website. Diese Serverkonfigurationsdatei wird von der am häufigsten verwendeten Apache-Webserver-Software verwendet.

Anmerkung: Bevor Sie Änderungen an Dateien auf Ihrer Website vornehmen, empfehlen wirErstellen einer Sicherungskopie.

Verbinden Sie sich dann einfach mit Ihrer Websitemit einem FTP-Client oder den Dateimanager in Ihrem Hosting-Kontrollpanel. Im Stammverzeichnis Ihrer Website müssen Sie die Datei .htaccess finden und bearbeiten.

Dadurch wird die Datei in einem einfachen Texteditor geöffnet. Am Ende der Datei können Sie einen Code hinzufügen, um HTTPS-Sicherheits-Header zu Ihrer WordPress-Website hinzuzufügen.

Sie können den folgenden Beispielcode als Ausgangspunkt verwenden. Er setzt die am häufigsten verwendeten HTTP-Sicherheits-Header mit optimalen Einstellungen:

<ifModule mod_headers.c>

Vergessen Sie nicht, Ihre Änderungen zu speichern und Ihre Website zu besuchen, um sicherzustellen, dass alles wie erwartet funktioniert.

4. Hinzufügen von HTTP-Sicherheits-Headern in WordPress mit AIOSEO

Alles in Einem SEO (AIOSEO) ist diebestes SEO-Tool für WordPress und genießt das Vertrauen von über 3 Millionen Unternehmen. Mit dem Premium-Plugin können Sie ganz einfach HTTP-Sicherheits-Header zu Ihrer Website hinzufügen.

Als erstes müssen Sie das AIOSEO Plugin auf Ihrer Website installieren und aktivieren. Mehr dazu erfahren Sie in unserer Schritt-für-Schritt-Anleitung aufwie man All in One SEO für WordPress einrichtet.

Dann müssen Sie sich auf die SeiteAll in One SEO “ Weiterleitungen Seite, um die HTTP-Sicherheits-Header hinzuzufügen. Zunächst müssen Sie auf die Schaltfläche „Weiterleitungen aktivieren“ klicken, um die Funktion zu aktivieren.

Sobald die Weiterleitungen aktiviert sind, müssen Sie auf die Registerkarte „Full Site Redirect“ klicken und dann nach unten zum Abschnitt „Canonical Settings“ scrollen.

Aktivieren Sie einfach den Schalter „Kanonische Einstellungen“ und klicken Sie dann auf die Schaltfläche „Sicherheitsvorgaben hinzufügen“.

In der Tabelle wird eine voreingestellte Liste von HTTP-Sicherheits-Headern angezeigt.

Diese Kopfzeilen sind für die Sicherheit optimiert. Sie können sie bei Bedarf überprüfen und ändern.

Klicken Sie unbedingt auf die Schaltfläche „Änderungen speichern“ am oberen oder unteren Rand des Bildschirms, um die Sicherheitsüberschriften zu speichern.

Sie können nun Ihre Website besuchen, um sich zu vergewissern, dass alles einwandfrei funktioniert.

HTTP-Sicherheits-Header für eine Website prüfen

Nachdem Sie nun HTTP-Sicherheits-Header zu Ihrer Website hinzugefügt haben, können Sie Ihre Konfiguration mit dem kostenlosen ProgrammSicherheitskopfzeilen Werkzeug.

Geben Sie einfach die URL Ihrer Website ein und klicken Sie auf die Schaltfläche „Scannen“.

Es prüft dann die HTTP-Sicherheits-Header Ihrer Website und zeigt Ihnen einen Bericht an. Das Tool generiert auch ein sogenanntes Notenlabel, das Sie ignorieren können, da die meisten Websites eine B- oder C-Bewertung erhalten, ohne dass die Benutzerfreundlichkeit beeinträchtigt wird.