Security Headers zijn een essentieel onderdeel voor de beveiliging van je WordPress website. Via Security Headers is de beveiliging van je website snel en eenvoudig verbeteren. Voorkom dat anderen schade oplopen door je website!
Wat zijn Security Headers?
Security Headers zijn stukjes code die aan de browser van de bezoekers van je website vertellen om iets te doen óf na te laten. Je internetbrowser is namelijk het meest kwetsbare punt in de communicatie tussen de website/server en de computer, telefoon of tablet van de bezoeker.
De Security Headers voorkomen dat er misbruik wordt gemaakt van de browser (van de bezoeker van je website). Daar ben je als website eigenaar verantwoordelijk voor.
Testen Beveiliging van je website
Het is eenvoudig online te testen of je website wel afdoende beveiligd is tegen diverse zaken als XSS (Cross Site Scripting) exploits en veel andere manieren waarop hackers kunnen inbreken op je site. Via de website “Security Headers” kun je je website testen of deze op dit gebied wel veilig genoeg is.
De bovenstaande test laat in veel gevallen, ook wanneer mensen wel de nodige security headers hebben ingesteld, zien dat de X-Frame-opties (nog) niet goed zijn ingesteld.
De X-Frame-Options HTTP-responsheader kan worden gebruikt om aan te geven of een browser een pagina moet kunnen weergeven in een <frame>, <iframe>, <embed> of <object>. Sites kunnen dit gebruiken om clickjacking-aanvallen te voorkomen door ervoor te zorgen dat hun inhoud niet wordt ingesloten in andere sites.
Kopieëren en plakken van onderstaande code in de .htaccess van uw website zorgt voor toepassing van de meest voorkomende instellingen.
Let wel: onderstaande wordt aangeboden ‘as is’, zonder enige garantie en uitsluiting van alle aansprakelijkheid.
## SECURITY ##
Header edit Set-Cookie ^(.*)$ "$1; HTTPOnly"
Header edit Set-Cookie ^(.*)$ "$1; Secure"
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-XSS-Protection "1; mode=block"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-Content-Type-Options "nosniff"
Header always set Permissions-Policy "geolocation=(), midi=(),sync-xhr=(),accelerometer=(), gyroscope=(), magnetometer=(), camera=(), fullscreen=(self)"
## EINDE SECURITY ##
Dit voorbeeld kun je voor nagenoeg alle websites toepassen. Controleer uiteraard na aanpassingen of alles nog naar behoren werkt. Wanneer je bijvoorbeeld via een <iframe> tag content van elders in je website inleest (wat je overigens absoluut niet zou moeten doen!) kan dit problemen veroorzaken.