So schützen Sie Ihre WordPress-Website mit HTTP-Sicherheitsheadern (Anfänger-Leitfaden)

Der Schutz Ihrer WordPress-Website vor Online-Bedrohungen ist entscheidend. Eine Möglichkeit, wie wir die Sicherheit bei WPBeginner verbessern, ist die Verwendung von HTTP-Sicherheit-Headern. Diese bieten eine zusätzliche Sicherheitsebene und wirken wie ein Schild gegen gängige Angriffe und Schwachstellen.

Diese Header arbeiten im Hintergrund und weisen Webbrowser und Server an, wie die Daten Ihrer Website behandelt werden sollen, und verbessern so deren allgemeine Sicherheit. Das Hinzufügen dieser Header ist eine einfache, aber effektive Möglichkeit, die Abwehrmaßnahmen Ihrer Website zu stärken und vor bösartigen Aktivitäten zu schützen.

Diese Einsteigeranleitung zeigt Ihnen, wie Sie HTTP-Sicherheitsheader in WordPress hinzufügen. Wir behandeln verschiedene Methoden, einschließlich der Verwendung von Plugins und der manuellen Bearbeitung von Konfigurationsdateien.

Was sind HTTP-Sicherheitsheader?

HTTP-Sicherheit-Header sind eine Sicherheitsmaßnahme, die es dem Server Ihrer Website ermöglicht, einige gängige Sicherheitsbedrohungen zu verhindern, bevor sie Ihre Website beeinträchtigen können.

Wenn ein Benutzer Ihre WordPress-Website besucht, sendet Ihr Webserver eine HTTP-Header-Antwort an dessen Browser. Diese Antwort informiert Browser über Fehlercodes, Cache-Steuerung und andere Statusinformationen.

Die normale Header-Antwort gibt einen Status namens HTTP 200 aus. Danach wird Ihre Website im Browser des Benutzers geladen. Wenn Ihre Website jedoch Schwierigkeiten hat, kann Ihr Webserver einen anderen HTTP-Header senden.

Zum Beispiel kann er einen 500er Internal Server Error oder einen 404er Not Found Fehler-Code senden.

HTTP-Sicherheitsheader sind eine Teilmenge dieser Header. Sie werden verwendet, um Websites vor gängigen Bedrohungen wie Click-Jacking, Cross-Site-Scripting, Brute-Force-Angriffen und mehr zu schützen.

Werfen wir einen kurzen Blick auf einige HTTP-Sicherheitsheader und wie sie Ihre WordPress-Website schützen:

• HTTP Strict Transport Security (HSTS) teilt Webbrowsern mit, dass Ihre Website HTTPS verwendet und nicht über ein unsicheres Protokoll wie HTTP geladen werden sollte.
• X-XSS-Protection ermöglicht es Ihnen, Cross-Site-Scripting am Laden zu hindern.
• X-Frame-Options verhindert Cross-Domain-Iframes oder Click-Jacking.
• X-Content-Type-Options X-Content-Type-Options blockiert das Sniffing von Content-MIME-Typen.

HTTP-Sicherheitsheader funktionieren am besten, wenn sie auf der Ebene des Webservers gesetzt werden, was bedeutet, dass Ihr WordPress-Hosting-Konto. Dies ermöglicht es ihnen, frühzeitig während einer typischen HTTP-Anfrage ausgelöst zu werden und den maximalen Nutzen zu bieten.

Sie funktionieren noch besser, wenn Sie eine DNS-basierte Website-Anwendungsfirewall wie Sucuri oder Cloudflare verwenden.

Nichtsdestotrotz wollen wir uns ansehen, wie Sie ganz einfach HTTP-Sicherheit-Header in WordPress hinzufügen können. Hier sind Schnelllinks zu verschiedenen Methoden, damit Sie zu der Methode springen können, die am besten zu Ihnen passt:

1. Hinzufügen von HTTP-Sicherheitsheadern in WordPress mit Sucuri
2. Hinzufügen von HTTP-Sicherheits-Headern in WordPress mit Cloudflare
3. Hinzufügen von HTTP-Sicherheitsheadern in WordPress mit .htaccess
4. Hinzufügen von HTTP-Sicherheitsheadern in WordPress mit AIOSEO
5. So überprüfen Sie HTTP-Sicherheitsheader für eine Website
6. Expertenanleitungen zur WordPress-Sicherheit

1. Hinzufügen von HTTP-Sicherheitsheadern in WordPress mit Sucuri

Sucuri ist eines der besten WordPress-Sicherheits-Plugins auf dem Markt. Wenn Sie deren Website-Firewall-Service nutzen, können Sie HTTP-Sicherheits-Header einrichten, ohne Code schreiben zu müssen.

Zuerst müssen Sie sich für ein Sucuri-Konto anmelden. Es ist ein kostenpflichtiger Dienst, der eine Website-Firewall auf Serverebene, ein Sicherheitspaket, ein CDN und eine Garantie zur Malware-Entfernung bietet.

Während der Anmeldung müssen Sie einfache Fragen beantworten, und die Dokumentation von Sucuri hilft Ihnen bei der Einrichtung der Website-Anwendungsfirewall auf Ihrer Website.

Nach der Anmeldung müssen Sie das kostenlose Sucuri-Plugin installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung zum Thema Installieren eines WordPress-Plugins.

Nach der Aktivierung müssen Sie zu Sucuri Security » Firewall (WAF) gehen und Ihren Firewall-API-Schlüssel eingeben. Diese Informationen finden Sie in Ihrem Konto auf der Sucuri-Website.

Danach müssen Sie auf die grüne Schaltfläche „Speichern“ klicken, um Ihre Änderungen zu speichern.

Wechseln Sie als Nächstes zu Ihrem Sucuri-Konto-Dashboard. Klicken Sie von hier aus auf das Menü „Einstellungen“ oben und wechseln Sie dann zur Registerkarte „Sicherheit“.

Von hier aus können Sie drei Regelwerke auswählen. Der Standard-Schutz funktioniert für die meisten Websites gut.

Wenn Sie einen Professional- oder Business-Plan haben, haben Sie auch Optionen für HSTS und HSTS Full. Sie können sehen, welche HTTP-Sicherheits-Header für jede Regelmenge angewendet werden.

Sie müssen auf die Schaltfläche „Änderungen speichern in den zusätzlichen Headern“ klicken, um Ihre Änderungen zu übernehmen.

Sucuri fügt nun Ihre ausgewählten HTTP-Sicherheitsheader in WordPress hinzu. Da es sich um eine WAF auf DNS-Ebene handelt, ist der Datenverkehr Ihrer Website vor Hackern geschützt, noch bevor er Ihre Website erreicht.

2. Hinzufügen von HTTP-Sicherheitsheadern in WordPress mit Cloudflare

Cloudflare bietet einen grundlegenden kostenlosen Website-Firewall- und CDN-Dienst. In seinem kostenlosen Plan fehlen erweiterte Sicherheitsfunktionen, sodass Sie auf seinen Pro-Plan upgraden müssen, der teurer ist.

Sie können lernen, wie Sie Cloudflare zu Ihrer Website hinzufügen, indem Sie unserem Tutorial zum Einrichten des Cloudflare Free CDN in WordPress folgen.

Sobald Cloudflare auf Ihrer Website aktiv ist, müssen Sie zur Seite SSL/TLS in Ihrem Cloudflare-Konto-Dashboard gehen und dann zum Tab 'Edge Certificates' wechseln.

Scrollen Sie nun nach unten zum Abschnitt „HTTP Strict Transport Security (HSTS)“.

Sobald Sie ihn gefunden haben, müssen Sie auf die Schaltfläche „HSTS aktivieren“ klicken.

Dies öffnet ein Popup mit Anweisungen, die besagen, dass Sie HTTPS auf Ihrer Website aktiviert haben müssen, bevor Sie diese Funktion nutzen können.

Wenn Ihr WordPress-Blog bereits eine sichere HTTPS-Verbindung hat, können Sie auf die Schaltfläche „Weiter“ klicken, um fortzufahren. Sie sehen die Optionen zum Hinzufügen von HTTP-Sicherheits-Headern.

Von hier aus können Sie HSTS aktivieren, HSTS auf Subdomains anwenden (wenn die Subdomains HTTPS verwenden), HSTS vorladen und den No-Sniff-Header aktivieren.

Diese Methode bietet grundlegenden Schutz durch HTTP-Sicherheitsheader. Sie erlaubt jedoch nicht das Hinzufügen von X-Frame-Options, und Cloudflare hat keine Benutzeroberfläche dafür.

Sie können dies immer noch tun, indem Sie ein Skript mit der Funktion Cloudflare Workers erstellen. Wir empfehlen dies jedoch nicht, da das Erstellen eines Skripts für Sicherheit-Header über HTTPS für Anfänger unerwartete Probleme verursachen kann.

3. Hinzufügen von HTTP-Sicherheitsheadern in WordPress mit .htaccess

Diese Methode ermöglicht es Ihnen, die HTTP-Sicherheits-Header in WordPress auf Serverebene festzulegen.

Dies erfordert die Bearbeitung der .htaccess-Datei auf Ihrer Website. Diese Serverkonfigurationsdatei wird von der am häufigsten verwendeten Apache-Webserver-Software verwendet.

Hinweis: Bevor Sie Änderungen an Dateien auf Ihrer Website vornehmen, empfehlen wir ein Backup zu erstellen.

Als Nächstes verbinden Sie sich einfach mit Ihrer Website über einen FTP-Client oder den Dateimanager in Ihrem Webhosting-Kontrollpanel. Im Stammverzeichnis Ihrer Website müssen Sie die Datei .htaccess finden und bearbeiten.

Dies öffnet die Datei in einem einfachen Texteditor. Am Ende der Datei können Sie Code hinzufügen, um Ihrer WordPress-Website HTTPS-Sicherheits-Header hinzuzufügen.

Sie können den folgenden Beispielcode als Ausgangspunkt verwenden. Er setzt die am häufigsten verwendeten HTTP-Sicherheit-Header mit optimalen Einstellungen:

<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>

Vergessen Sie nicht, Ihre Änderungen zu speichern und Ihre Website zu besuchen, um sicherzustellen, dass alles wie erwartet funktioniert.

4. Hinzufügen von HTTP-Sicherheitsheadern in WordPress mit AIOSEO

All in One SEO (AIOSEO) ist das beste SEO-Tool für WordPress und wird von über 3 Millionen Unternehmen genutzt. Das Premium-Plugin ermöglicht es Ihnen, Ihrer Website einfach HTTP-Sicherheits-Header hinzuzufügen.

Das Erste, was Sie tun müssen, ist das AIOSEO-Plugin auf Ihrer Website zu installieren und zu aktivieren. Weitere Informationen finden Sie in unserer Schritt-für-Schritt-Anleitung zur Einrichtung von All in One SEO für WordPress.

Sie müssen dann zur Seite All in One SEO » Redirects gehen, um die HTTP-Sicherheitsheader hinzuzufügen. Zuerst müssen Sie auf die Schaltfläche „Redirects aktivieren“ klicken, um die Funktion zu aktivieren.

Sobald die Weiterleitungen aktiviert sind, müssen Sie auf den Tab „Full Site Redirect“ klicken und dann zum Abschnitt „Canonical Settings“ scrollen.

Aktivieren Sie einfach den Schalter 'Kanonische Einstellungen' und klicken Sie dann auf die Schaltfläche 'Sicherheitsvoreinstellungen hinzufügen'.

Sie sehen eine voreingestellte Liste von HTTP-Sicherheitsheadern in der Tabelle.

Diese Header sind für die Website-Sicherheit optimiert. Sie können sie bei Bedarf überprüfen und ändern.

Stellen Sie sicher, dass Sie auf die Schaltfläche „Änderungen speichern“ oben oder unten auf dem Bildschirm klicken, um die Sicherheitsheader zu speichern.

Sie können nun Ihre Website besuchen, um sicherzustellen, dass alles einwandfrei funktioniert.

So überprüfen Sie HTTP-Sicherheitsheader für eine Website

Jetzt, da Sie HTTP-Sicherheitsheader zu Ihrer Website hinzugefügt haben, können Sie Ihre Konfiguration mit dem kostenlosen Security Headers-Tool testen.

Geben Sie einfach die URL Ihrer Website ein und klicken Sie auf die Schaltfläche „Scannen“.

Anschließend prüft das Tool die HTTP-Sicherheitsheader Ihrer Website und zeigt Ihnen einen Bericht an. Das Tool generiert auch ein sogenanntes Notenlabel, das Sie ignorieren können, da die meisten Websites eine B- oder C-Bewertung erhalten, ohne das Benutzererlebnis zu beeinträchtigen.

Es wird Ihnen angezeigt, welche HTTP-Sicherheitsheader von Ihrer Website gesendet werden und welche nicht enthalten sind. Wenn die Sicherheit-Header, die Sie einrichten wollten, dort aufgeführt sind, sind Sie fertig.

Expertenanleitungen zur WordPress-Sicherheit

Wir hoffen, dieser Artikel hat Ihnen geholfen zu lernen, wie Sie HTTP-Sicherheitsheader in WordPress hinzufügen. Möglicherweise möchten Sie auch einige andere Anleitungen zur Verbesserung der Sicherheit Ihrer WordPress-Website sehen:

• Der ultimative WordPress-Sicherheitsleitfaden (Schritt für Schritt)
• So führen Sie eine WordPress-Sicherheitsprüfung durch (vollständige Checkliste)
• So erhalten Sie ein kostenloses SSL-Zertifikat für Ihre WordPress-Website (Anfängerleitfaden)
• Top-Gründe, warum WordPress-Websites gehackt werden (& wie man sie verhindert)
• So ändern Sie das WordPress-Datenbankpräfix zur Verbesserung der Sicherheit
• Die besten WordPress-Sicherheits-Plugins zum Schutz Ihrer Website (im Vergleich)
• Die besten WordPress-Sicherheits-Scanner zur Erkennung von Malware und Hacks
• So scannen Sie Ihre WordPress-Site auf potenziell bösartigen Code

Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.