Hinzufügen von HTTP-Sicherheits-Headern in WordPress (Anleitung für Anfänger)

Möchten Sie HTTP-Sicherheits-Header in WordPress hinzufügen?

Mit HTTP-Sicherheits-Headern können Sie Ihrer WordPress-Website eine zusätzliche Sicherheitsebene hinzufügen. Sie können dabei helfen, häufige bösartige Aktivitäten zu blockieren, die die Leistung Ihrer Website beeinträchtigen.

In dieser Anleitung für Einsteiger zeigen wir Ihnen, wie Sie HTTP-Sicherheits-Header in WordPress einfach hinzufügen können.

Was sind HTTP-Sicherheits-Header?

HTTP-Sicherheits-Header sind eine Sicherheitsmaßnahme, die es dem Server Ihrer Website ermöglicht, einige gängige Sicherheitsbedrohungen zu verhindern, bevor sie Ihre Website beeinträchtigen.

Grundsätzlich gilt: Wenn ein Benutzer Ihre Website besucht, sendet Ihr Webserver eine HTTP-Header-Antwort zurück an seinen Browser. Diese Antwort informiert den Browser über Fehlercodes, Cache-Kontrolle und andere Zustände.

Die normale Header-Antwort gibt einen Status namens HTTP 200 aus. Danach wird Ihre Website im Browser des Benutzers geladen. Wenn Ihre Website jedoch Schwierigkeiten hat, sendet Ihr Webserver möglicherweise einen anderen HTTP-Header.

Zum Beispiel kann er einen internen Serverfehler 500 oder einen Fehlercode 404 (nicht gefunden) senden.

HTTP-Sicherheits-Header sind eine Teilmenge dieser Header und werden verwendet, um Websites vor gängigen Bedrohungen wie Click-Jacking, Cross-Site-Scripting, Brute-Force-Angriffen und mehr zu schützen.

Lassen Sie uns einen kurzen Blick darauf werfen, wie HTTP-Sicherheits-Header aussehen und was sie zum Schutz Ihrer Website beitragen.

HTTP Strict Transport Security (HSTS)

Der HTTP Strict Transport Security (HSTS)-Header teilt Webbrowsern mit, dass Ihre Website HTTPs verwendet und nicht über ein unsicheres Protokoll wie HTTP geladen werden sollte.

Wenn Sie Ihre WordPress-Website von HTTP auf HTTPs umgestellt haben, dann können Sie mit diesem Sicherheits-Header verhindern, dass Browser Ihre Website über HTTP laden.

X-XSS-Schutz

Mit dem X-XSS-Schutz-Header können Sie das Laden von Cross-Site-Scripting auf Ihrer WordPress-Website blockieren.

X-Frame-Options

Der X-Frame-Options-Sicherheitsheader verhindert domänenübergreifende Iframes oder Click-Jacking.

X-Content-Type-Options

X-Content-Type-Options blockiert das Sniffing von Mime-Typ-Inhalten.

Schauen wir uns also an, wie man HTTP-Sicherheits-Header in WordPress einfach hinzufügen kann.

Hinzufügen von HTTP-Sicherheits-Headern in WordPress

HTTP-Sicherheits-Header funktionieren am besten, wenn sie auf Webserver-Ebene (d. h. in Ihrem WordPress-Hosting-Konto ) festgelegt werden. So können sie bereits während einer typischen HTTP-Anfrage ausgelöst werden und bieten maximalen Nutzen.

Sie funktionieren sogar noch besser, wenn Sie eine Website Application Firewall auf DNS-Ebene wie Sucuri oder Cloudflare verwenden. Wir zeigen Ihnen jede Methode, und Sie können diejenige auswählen, die für Sie am besten funktioniert.

Hier sind schnelle Links zu verschiedenen Methoden, Sie können zu derjenigen springen, die zu Ihnen passt.

1. Hinzufügen von HTTP-Sicherheits-Headern in WordPress mit Sucuri

Sucuri ist das beste WordPress-Sicherheits-Plugin auf dem Markt. Wenn Sie auch deren Website-Firewall-Service verwenden, können Sie HTTP-Sicherheits-Header setzen, ohne Code zu schreiben.

Zuerst müssen Sie sich für ein Sucuri-Konto anmelden. Es handelt sich um einen kostenpflichtigen Service, der eine Website-Firewall auf Server-Ebene, ein Sicherheits-Plugin, ein CDN und eine Malware-Entfernungsgarantie enthält.

Während der Anmeldung beantworten Sie einfache Fragen, und die Sucuri-Dokumentation hilft Ihnen bei der Einrichtung der Website Application Firewall auf Ihrer Website.

Nach der Anmeldung müssen Sie das kostenlose Sucuri-Plugin installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.

Nach der Aktivierung gehen Sie auf die Seite Sucuri Security “ Firewall (WAF) und geben Ihren Firewall-API-Schlüssel ein. Sie finden diese Informationen unter Ihrem Konto auf der Sucuri-Website.

Klicken Sie auf die Schaltfläche Speichern, um Ihre Änderungen zu speichern.

Als nächstes müssen Sie zum Dashboard Ihres Sucuri-Kontos wechseln. Klicken Sie hier oben auf das Menü Einstellungen und wechseln Sie dann auf die Registerkarte Sicherheit.

Von hier aus können Sie drei Regelsätze auswählen. Den Standardschutz, HSTS und HSTS Full. Sie sehen, welche HTTP-Sicherheits-Header für jeden Satz von Regeln angewendet werden.

Klicken Sie auf die Schaltfläche „Änderungen in den zusätzlichen Headern speichern“, um Ihre Änderungen zu übernehmen.

Das war’s. Sucuri fügt nun Ihre ausgewählten HTTP-Sicherheits-Header in WordPress hinzu. Da es sich um eine WAF auf DNS-Ebene handelt, ist Ihr Website-Verkehr vor Hackern geschützt, noch bevor diese Ihre Website erreichen.

2. Hinzufügen von HTTP-Sicherheits-Headern in WordPress mit Cloudflare

Cloudflare bietet eine einfache kostenlose Website-Firewall und einen CDN-Service. Es fehlt an erweiterten Sicherheitsfunktionen in ihrem kostenlosen Plan, so dass Sie ein Upgrade auf ihren Pro-Plan benötigen, die teurer sind.

Um Cloudflare auf Ihrer Website hinzuzufügen, lesen Sie unsere Anleitung zum Hinzufügen des kostenlosen Cloudflare CDN in WordPress.

Sobald Cloudflare auf Ihrer Website aktiv ist, gehen Sie zur SSL/TLS-Seite unter Ihrem Cloudflare-Konto-Dashboard und wechseln Sie dann zur Registerkarte Edge-Zertifikate.

Scrollen Sie nun nach unten zum Abschnitt HTTP Strict Transport Security (HSTS) und klicken Sie auf die Schaltfläche „Enable HSTS“.

Daraufhin erscheint ein Popup mit Anweisungen, dass Sie HTTPS in Ihrem WordPress-Blog aktiviert haben müssen, bevor Sie diese Funktion nutzen können. Klicken Sie auf die Schaltfläche „Weiter“, um fortzufahren, und Sie sehen die Optionen zum Hinzufügen von HTTP-Sicherheits-Headern.

Von hier aus können Sie HSTS, No-Sniff-Header aktivieren, HSTS auf Subdomains anwenden (wenn diese HTTPS verwenden) und HSTS vorladen.

Diese Methode bietet einen grundlegenden Schutz mit HTTP-Sicherheits-Headern. Allerdings können Sie damit keine X-Frame-Options hinzufügen und Cloudflare hat keine Benutzeroberfläche, um dies zu tun.

Sie können dies trotzdem tun, indem Sie ein Skript mit der Workers-Funktion erstellen. Das Erstellen eines Skripts für HTTPS-Sicherheitsheader kann jedoch unerwartete Probleme für Anfänger verursachen, weshalb wir dies nicht empfehlen würden.

3. Hinzufügen von HTTP-Sicherheits-Headern in WordPress mit .htaccess

Mit dieser Methode können Sie die HTTP-Sicherheits-Header in WordPress auf der Serverebene festlegen.

Dazu müssen Sie die Datei .htaccess auf Ihrer Website bearbeiten. Es handelt sich um eine Serverkonfigurationsdatei, die von der am häufigsten verwendeten Apache-Webserver-Software verwendet wird.

Verbinden Sie sich einfach mit einem FTP-Client oder der Dateimanager-App in Ihrem Hosting Control Panel mit Ihrer Website. Im Stammverzeichnis Ihrer Website müssen Sie die .htaccess-Datei suchen und bearbeiten.

Dadurch wird die Datei in einem einfachen Texteditor geöffnet. Unten in der Datei können Sie den Code hinzufügen, um HTTPS-Sicherheits-Header zu Ihrer WordPress-Website hinzuzufügen.

Sie können den folgenden Beispielcode als Ausgangspunkt verwenden, er setzt die am häufigsten verwendeten HTTPs-Sicherheits-Header mit optimalen Einstellungen:

Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header-Satz X-XSS-Protection "1; mode=block"
Header-Satz X-Content-Type-Options nosniff
Header-Satz X-Frame-Options DENY
Header-Set Referrer-Policy: no-referrer-when-downgrade

Vergessen Sie nicht, Ihre Änderungen zu speichern und Ihre Website zu besuchen, um sicherzustellen, dass alles wie erwartet funktioniert.

Hinweis: Falsche Header oder Konflikte in der .htaccess-Datei können bei den meisten Webhosts einen 500 Internal Server Error auslösen.

4. Hinzufügen von HTTP-Sicherheits-Headern in WordPress mit einem Plugin

Diese Methode ist etwas weniger effektiv, da sie auf ein WordPress-Plugin angewiesen ist, um die Header zu ändern. Es ist jedoch auch der einfachste Weg, um HTTP-Sicherheits-Header zu Ihrer WordPress-Website hinzuzufügen.

Zunächst müssen Sie das Redirection-Plugin installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.

Nach der Aktivierung zeigt das Plugin einen Einrichtungsassistenten an, dem Sie einfach folgen können, um das Plugin einzurichten. Gehen Sie danach auf die Seite Tools “ Redirection und wechseln Sie auf den Reiter ‚Site‘.

Als nächstes müssen Sie zum unteren Ende der Seite zum Abschnitt „HTTP-Header“ scrollen und auf die Schaltfläche „Header hinzufügen“ klicken. Wählen Sie aus dem Dropdown-Menü die Option „Sicherheitsvoreinstellungen hinzufügen“.

Danach müssen Sie erneut darauf klicken, um diese Optionen hinzuzufügen. Jetzt sehen Sie eine voreingestellte Liste von HTTP-Sicherheits-Headern in der Tabelle.

Diese Header sind für die Sicherheit optimiert, Sie können sie überprüfen und bei Bedarf ändern. Wenn Sie fertig sind, vergessen Sie nicht, auf die Schaltfläche Aktualisieren zu klicken, um Ihre Änderungen zu speichern.

Sie können nun Ihre Website besuchen, um sicherzustellen, dass alles einwandfrei funktioniert.

So prüfen Sie HTTP-Sicherheits-Header für eine Website

Nun haben Sie HTTP-Sicherheits-Header zu Ihrer Website hinzugefügt. Sie können Ihre Konfiguration mit dem kostenlosen Security Headers-Tool testen. Geben Sie einfach die URL Ihrer Website ein und klicken Sie auf die Schaltfläche „Scannen“.

Es prüft dann die HTTP-Sicherheits-Header Ihrer Website und zeigt Ihnen einen Bericht an. Das Tool würde ein sogenanntes Grade-Label generieren, das Sie ignorieren können, da die meisten Websites bestenfalls eine B- oder C-Bewertung erhalten würden, ohne die Benutzerfreundlichkeit zu beeinträchtigen.

Es wird Ihnen zeigen, welche HTTP-Sicherheits-Header von Ihrer Website gesendet werden und welche Sicherheits-Header nicht enthalten sind. Wenn die Sicherheits-Header, die Sie setzen wollten, dort aufgeführt sind, dann sind Sie fertig.

Das ist alles, wir hoffen, dass dieser Artikel Ihnen geholfen hat, zu lernen, wie man HTTP-Sicherheitsheader in WordPress hinzufügt. Vielleicht interessieren Sie sich auch für unseren vollständigen WordPress-Sicherheitsleitfaden und unsere Expertenauswahl der besten WordPress-Plugins für Business-Websites.

Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebookfinden.