Der Beitrag, geschriebem am 29. Juni 2018, ist schon etwas älter und könnte womöglich nicht mehr aktuell sein
Nachfolgende Zeilen in der .htaccess machen Sites sicherer, allerdings funktionieren sie selten „einfach so“ und ohne dass Modifikationen erforderlich werden.
<IfModule mod_headers.c>
Header set Connection keep-alive
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
Header set Content-Security-Policy "script-src 'self'"
Header set X-Frame-Options: SAMEORIGIN
Header set X-XSS-Protection "1; mode=block"
Header always set Referrer-Policy "no-referrer"
Header set X-Content-Type-Options "nosniff"
</IfModule>Header set Content-Security-Policy "script-src 'self'" blockiert zum Beispiel Inline-Javascript, was dazu führt, dass viele Websites damit nicht mehr korrekt funktionieren (spätestens im WordPress-Dashboard versagt damit so manche Komfortfunktion).
In diesem Fall müsste die Content Security Policy erweitert werden:
Header set Content-Security-Policy "script-src 'self' 'unsafe-inline'"Die Einstellung über ein Firewall-Plugins vorzunehmen ist üblicherweise bereits mit entsprechenden Optionen verbunden. Ausführliche Informationen zu HTTP-Headers bei Mozilla.
Anschließend die Site gründlich testen, z.B. mit Opera und Dragonfly.
Schreibe einen Kommentar