Security headers

wordpress security headers

Geschreven door Alain Lankers

6 augustus 2019

Om je WordPress website beter te beschermen kan je gebruik maken van security headers. Deze zorgen voor een extra laag beveiliging van je website. Security headers zijn instellingen die het verkeer op je website controleren en er o.a. voor zorgen dat:

  • je website alleen via een beveiligde https verbinding bezocht kan worden
  • dat geen externe CSS en JS code ingeladen kan worden
  • functies in javascript die niet uitgevoerd mogen worden
  • er geen clickjacking uitgevoerd mag worden
  • er geen XSS uitgevoerd mag worden

 

Volgende security headers zijn mogelijk:

 

  • HTTP Strict-Transport-Security
    Met deze security header bepaal je dat de website alleen via een beveiligde https verbinding bezocht kan worden. Je website moet hiervoor gebruik maken van een SSL verbinding. Deze beveiligde verbinding herken je aan het hangslotje in het adres van de website.
  • X-Frame Options
    Hiermee kan je ervoor zorgen dat je website niet in een externe website via een iframe ingeladen kan worden. Een iframe is een venster op een pagina van een andere website waarin jouw website ingeladen kan worden.
  • X-XSS-Protection
    Deze security header zal geen pagina laden als een XSS aanval gedetecteerd wordt. Met XSS wordt kwaadaardige code in de website geïnjecteerd door een hacker.
  • X-Content-Type-Options
    Browsers luisteren alleen naar het MIME-TYPE zoals dat door de website is opgegeven. MIME geeft een browser informatie over hoe het met een bestand om moet gaan.
  • Referrer-Policy
    Als een website bezocht wordt neem je als bezoeker informatie mee over de website waar je vandaan komt. Om privacy redenen kan je deze security header inschakelen om dat te voorkomen.
  • Feature Policy
    Hiermee kan je opgeven welke browserfunctionaliteiten of API’s gebruikt mogen worden. Bepaal welke functionaliteiten wel of niet gebruikt kunnen worden op je website.
  • Content Security Policy
    Een extra beveiliging tegen Cross Site Scripting. Je kunt aangeven welke scripts van welke externe locaties toegestaan zijn. Al de andere scripts zijn niet toegelaten.

 

Ben je gehost op een Apache server dan kunnen de security headers in het htaccess bestand geplaatst worden. Ben je gehost op Nginx of IIS dan moet de hostingbeheerder de headers instellen.

Gerelateerde berichten

WordPress brute force aanval

WordPress brute force aanval

Een van de dienstverleningen die ik met mijn bedrijf aanbied is WordPress Beveiliging. WordPress is op zich een veilig...