X-XSS protection oplossen HTTP-beveiligingsheaders

Logo cursus traing wordpress

X-XSS protection oplossen HTTP-beveiligingsheaders

X-XSS protection toevoegen aan HTTP-beveiligingsheaders

Met HTTP-beveiligingsheaders kunt u een extra beveiligingslaag toevoegen aan uw WordPress-website. Ze kunnen helpen om veelvoorkomende kwaadaardige activiteiten te blokkeren, zodat ze de prestaties van je website niet beïnvloeden.

In deze beginnershandleiding laten we je zien hoe je gemakkelijk HTTP-beveiligingsheaders in WordPress kunt toevoegen.

Wat zijn HTTP-beveiligingsheaders?

HTTP-beveiligingsheaders zijn een beveiligingsmaatregel waarmee de server van uw website een aantal veelvoorkomende beveiligingsrisico’s kan voorkomen voordat deze uw website beïnvloeden.

Wanneer een gebruiker uw website bezoekt, stuurt uw webserver een HTTP header antwoord terug naar de browser. Deze respons vertelt browsers over foutcodes, cachecontrole en andere statussen.

De normale headerrespons geeft een status die HTTP 200 heet. Daarna wordt uw website geladen in de browser van de gebruiker. Als uw website echter problemen ondervindt, kan uw webserver een andere HTTP-header sturen.

Hij kan bijvoorbeeld een 500 internal server error sturen, of een not found 404 error code.

HTTP-beveiligingsheaders zijn een subset van deze headers en worden gebruikt om websites te beschermen tegen algemene bedreigingen zoals click-jacking, cross-site scripting, brute force attacks en meer.

Laten we eens kort bekijken hoe HTTP-beveiligingsheaders eruit zien en wat ze doen om uw website te beschermen.

Melding security headers in WordPress Website

Bij de site diagnose in WordPress kun je deze melding van de security headers in WordPress Website krijgen

beveiligingsheaders toevoegen wordpress handleiding verbeteren beveiliging
Melding Security headers (beveiligingsheaders) wordpress

HTTP strikte transportbeveiliging (HSTS)

HTTP Strict Transport Security (HSTS) header vertelt webbrowsers dat je website HTTPs gebruikt en niet mag worden geladen via een onveilig protocol zoals HTTP.

Als u uw WordPress website hebt verplaatst van HTTP naar HTTPs, dan kunt u met deze beveiligingsheader voorkomen dat browsers uw website via HTTP laden.

X-XSS Bescherming

Met de X-XSS Protection header kun je het laden van cross-site scripting op je WordPress website blokkeren.

X-Frame-Options

X-Frame-Options beveiligingsheader voorkomt cross-domain iframes of click-jacking.

X-Content-Type-Options

X-Content-Type-Options blokkeert content mime-type sniffing.

Laten we eens kijken hoe je beveiligingsheaders kunt toevoegen aan je WordPress website.

beveiligingsheaders xxs controleren wordpress website security headers
Beveiligingsheaders xxs toevoegen in wordpress website met security headers

HTTP-beveiligingsheaders toevoegen in WordPress

HTTP-beveiligingsheaders werken het best wanneer ze worden ingesteld op het niveau van de webserver (d.w.z. je WordPress hosting account). Hierdoor kunnen ze vroegtijdig worden geactiveerd tijdens een typisch HTTP-verzoek en bieden ze maximaal voordeel.

Ze werken nog beter als je een website application firewall op DNS-niveau gebruikt, zoals Sucuri of Cloudflare. We laten u elke methode zien, en u kunt er een kiezen die voor u het beste werkt.

Hier zijn snelle links naar verschillende methoden, u kunt naar degene springen die bij u past.

HTTP-beveiligingsheaders website toevoegen met Cloudflare

Cloudflare biedt een gratis basis website firewall en CDN service. Het mist geavanceerde beveiligingsfuncties in hun gratis plan, dus u zult moeten upgraden naar hun Pro plan, die duurder zijn.

Om Cloudflare toe te voegen aan uw site, zie onze tutorial over hoe Cloudflare gratis CDN toe te voegen in WordPress.

Zodra Cloudflare actief is op uw website, gaat u naar de SSL/TLS pagina onder uw Cloudflare account dashboard en schakelt u over naar de Edge Certificates tab.

Scroll nu naar beneden naar de HTTP Strict Transport Security (HSTS) sectie en klik op de ‘Enable HSTS’ knop.

Er verschijnt een popup met instructies die u vertellen dat u HTTPS moet hebben ingeschakeld op uw WordPress blog voordat u deze functie kunt gebruiken. Klik op de Volgende knop om verder te gaan, en u ziet de opties om HTTP security headers toe te voegen.

Vanaf hier kunt u HSTS, no-sniff headers inschakelen, HSTS toepassen op subdomeinen (als ze HTTPS gebruiken) en HSTS vooraf laden.

Deze methode biedt basisbescherming met behulp van HTTP-beveiligingsheaders. Het laat u echter niet toe X-Frame-Options toe te voegen en Cloudflare heeft geen gebruikersinterface om dat te doen.

U kunt dat nog steeds doen door een script te maken met behulp van de Workers-functie. Het maken van een HTTPS security header script kan echter onverwachte problemen veroorzaken voor beginners en daarom raden we het niet aan.

HTTP-beveiligingsheaders maken WordPress met .htaccess

Met deze methode kun je de HTTP-beveiligingsheaders in WordPress op serverniveau instellen. Dit is het makkelijkst voor beginners.

Het vereist dat u het .htaccess bestand op uw website bewerkt. Het is een serverconfiguratiebestand dat wordt gebruikt door de meest gebruikte Apache webserversoftware.

Maak gewoon verbinding met uw website via een FTP-client, of de bestandsbeheer-app in uw hostingcontrolepaneel. In de hoofdmap van je website moet je het .htaccess-bestand vinden en bewerken.

Dit zal het bestand openen in een gewone teksteditor. Onderaan het bestand kunt u de code toevoegen om HTTPS-beveiligingsheaders aan uw WordPress-website toe te voegen.

U kunt de volgende voorbeeldcode gebruiken als uitgangspunt, deze stelt de meest gebruikte HTTPs-beveiligingsheaders in met optimale instellingen:

<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>

HTTP-beveiligingsheaders toevoegen met WordPress plugin

Deze methode is iets minder effectief omdat het afhankelijk is van een WordPress plugin om de headers aan te passen. Het is echter ook de gemakkelijkste manier om HTTP-beveiligingsheaders aan uw WordPress-website toe te voegen.

Eerst moet je de Redirection plugin installeren en activeren.

Redirection WordPress plugin van John Godley installeren

Eerst moet je de Redirection plugin installeren.

  • Klik op nieuwe plugin.
  • Zoek op "Redirection"
  • Waarschijnlijk staat de plugin al bovenaan. Check of die van John Godley is en of het is bijgewerkt naar WordPress 6.3 (vanaf augustus 2023).
  • Installeer en activeer de Redirection plugin. Klaar!

Lees eventueel de handleiding gratis WordPress plugins installeren.

Na activering zal de plugin een installatiewizard tonen die je gewoon kunt volgen om de plugin in te stellen. Ga daarna naar Tools ” Redirection pagina en schakel naar het tabblad ‘Site’.

http beveiligingsheaders toevoegen met wordpress pluginredirection sitetab
beveiligingsheaders toevoegen met wordpress plugin redirection sitetab

Vervolgens moet u naar beneden scrollen naar de HTTP Headers sectie en op de ‘Add Header’ knop klikken. Uit het drop-down menu moet u de optie ‘Add Security Presets’ selecteren.

http beveiligingsheaders toevoegen met wordpress plugin redirection
http beveiligingsheaders toevoegen met wordpress plugin redirection

Daarna moet u er nogmaals op klikken om die opties toe te voegen. Nu ziet u een lijst met vooraf ingestelde HTTP-beveiligingsheaders verschijnen in de tabel.

http beveiligingsheaders toevoegen met wordpress plugin
http beveiligingsheaders toevoegen met wordpress plugin

Je kan deze waarden overnemen, zoals in de afbeelding. Dit aangevuld met de onderstaande 2 velden:

Strict-Transport-Security veld

Vul bij Strict-Transport-Security de onderstaande waarde in. Dit is het aantal seconden, dus 2 jaar:

63072000

Content Security Policy veld

Vul bij Content Security Policy de onderstaande waarde in:

script-src 'self'

Deze headers zijn geoptimaliseerd voor beveiliging. Je kunt de XXS WordPress website”>headers testen en controleren en indien nodig wijzigen. Als u klaar bent, vergeet dan niet op de knop Bijwerken te klikken om uw wijzigingen op te slaan.

U kunt nu uw website bezoeken om er zeker van te zijn dat alles goed werkt.


Meer weten over beveiligen van je header van je website

Wil je meer informatie over beveiligen van je header van je van een WordPress website?
Check dan de volgende handleidingen:

Ik heb een uitgebreide en complete handleiding geschreven over beveiligen van je header van je van je WordPress site.


Meer informatie over X-XSS protection oplossen HTTP-beveiligingsheadersof info?

Wil je meer weten? Veel cursisten met interesse in X-XSS protection oplossen HTTP-beveiligingsheaders bekeken ook de onderstaande handleidingen en artikelen:


WordPress cursus onderhoud

De meeste problemen met WordPress sites en webshops ontstaan door een combinatie van factoren. Van webhosting tot de inrichting van je site. Ik heb de laatste 15 jaar vele WordPress sites vast zien lopen, langzaam of gehackt zien worden door de verkeerde aanpak.

Deze problemen, ellende en schade is te vermijden door de juiste aanpak en strategie. Het is even werk en vergt een investering in tijd, geld en energie maar daarna heb je gegarandeerd minder problemen, meer plezier, meer controle en een betere WordPress website of webshop.

WordPress training onderhoud en beheer

Leer hoe je WordPress sites en webshops beter kan beheren en beveiligen in de speciale onderhoudscursus:
WordPress cursus Onderhoud en beheer

WordPress Bootcamp

Leer hoe je je website sneller en gestroomlijnder kan bouwen in de WordPress Bootcamp:
Web-development in WordPress Bootcamp

Nog vragen over X-XSS protection oplossen HTTP-beveiligingsheaders?

Neem eventueel contact op met Arthur als je nog vragen hebt over onderhoud, beveiliging, X-XSS protection oplossen HTTP-beveiligingsheaders en WordPress websites.

WordPress expert

Arthur Wentzel, web-developer

06 20 83 05 83

Scroll naar boven