Nachfolgende Zeilen in der .htaccess machen Sites sicherer, allerdings funktionieren sie selten „einfach so“ und ohne dass Modifikationen erforderlich werden.
<IfModule mod_headers.c>
Header set Connection keep-alive
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
Header set Content-Security-Policy "script-src 'self'"
Header set X-Frame-Options: SAMEORIGIN
Header set X-XSS-Protection "1; mode=block"
Header always set Referrer-Policy "no-referrer"
Header set X-Content-Type-Options "nosniff"
</IfModule>Header set Content-Security-Policy "script-src 'self'" blockiert zum Beispiel Inline-Javascript, was dazu führt, dass viele Websites damit nicht mehr korrekt funktionieren (spätestens im WordPress-Dashboard versagt damit so manche Komfortfunktion).
In diesem Fall müsste die Content Security Policy erweitert werden:
Header set Content-Security-Policy "script-src 'self' 'unsafe-inline'"Die Einstellung über ein Firewall-Plugins vorzunehmen ist üblicherweise bereits mit entsprechenden Optionen verbunden. Ausführliche Informationen zu HTTP-Headers bei Mozilla.
Anschließend die Site gründlich testen, z.B. mit Opera und Dragonfly.
Schreibe einen Kommentar