IN DEZE HANDLEIDING:
- 1 X-XSS protection toevoegen aan HTTP-beveiligingsheaders
- 2 Wat zijn HTTP-beveiligingsheaders?
- 3 Melding security headers in WordPress Website
- 4 HTTP strikte transportbeveiliging (HSTS)
- 5 HTTP-beveiligingsheaders toevoegen in WordPress
- 6 HTTP-beveiligingsheaders website toevoegen met Cloudflare
- 7 HTTP-beveiligingsheaders maken WordPress met .htaccess
- 8 HTTP-beveiligingsheaders toevoegen met WordPress plugin
X-XSS protection toevoegen aan HTTP-beveiligingsheaders
Met HTTP-beveiligingsheaders kunt u een extra beveiligingslaag toevoegen aan uw WordPress-website. Ze kunnen helpen om veelvoorkomende kwaadaardige activiteiten te blokkeren, zodat ze de prestaties van je website niet beïnvloeden.
In deze beginnershandleiding laten we je zien hoe je gemakkelijk HTTP-beveiligingsheaders in WordPress kunt toevoegen.
Wat zijn HTTP-beveiligingsheaders?
HTTP-beveiligingsheaders zijn een beveiligingsmaatregel waarmee de server van uw website een aantal veelvoorkomende beveiligingsrisico’s kan voorkomen voordat deze uw website beïnvloeden.
Wanneer een gebruiker uw website bezoekt, stuurt uw webserver een HTTP header antwoord terug naar de browser. Deze respons vertelt browsers over foutcodes, cachecontrole en andere statussen.
De normale headerrespons geeft een status die HTTP 200 heet. Daarna wordt uw website geladen in de browser van de gebruiker. Als uw website echter problemen ondervindt, kan uw webserver een andere HTTP-header sturen.
Hij kan bijvoorbeeld een 500 internal server error sturen, of een not found 404 error code.
HTTP-beveiligingsheaders zijn een subset van deze headers en worden gebruikt om websites te beschermen tegen algemene bedreigingen zoals click-jacking, cross-site scripting, brute force attacks en meer.
Laten we eens kort bekijken hoe HTTP-beveiligingsheaders eruit zien en wat ze doen om uw website te beschermen.
Melding security headers in WordPress Website
Bij de site diagnose in WordPress kun je deze melding van de security headers in WordPress Website krijgen
HTTP strikte transportbeveiliging (HSTS)
HTTP Strict Transport Security (HSTS) header vertelt webbrowsers dat je website HTTPs gebruikt en niet mag worden geladen via een onveilig protocol zoals HTTP.
Als u uw WordPress website hebt verplaatst van HTTP naar HTTPs, dan kunt u met deze beveiligingsheader voorkomen dat browsers uw website via HTTP laden.
X-XSS Bescherming
Met de X-XSS Protection header kun je het laden van cross-site scripting op je WordPress website blokkeren.
XSS cross-site scripting-aanval bescherming WordPress
Wat is een WordPress XSS-aanval Bij een cross-site scripting aanval, kortweg WordPress XSS, injecteert een…
Controleren HTTP-beveiligingsheaders XXS WordPress site
Hoe HTTP-beveiligingsheaders voor een website te controleren Als je HTTP-beveiligingsheaders hebt toegevoegd aan je WordPress…
X-Frame-Options
X-Frame-Options beveiligingsheader voorkomt cross-domain iframes of click-jacking.
X-Content-Type-Options
X-Content-Type-Options blokkeert content mime-type sniffing.
Laten we eens kijken hoe je beveiligingsheaders kunt toevoegen aan je WordPress website.
HTTP-beveiligingsheaders toevoegen in WordPress
HTTP-beveiligingsheaders werken het best wanneer ze worden ingesteld op het niveau van de webserver (d.w.z. je WordPress hosting account). Hierdoor kunnen ze vroegtijdig worden geactiveerd tijdens een typisch HTTP-verzoek en bieden ze maximaal voordeel.
Ze werken nog beter als je een website application firewall op DNS-niveau gebruikt, zoals Sucuri of Cloudflare. We laten u elke methode zien, en u kunt er een kiezen die voor u het beste werkt.
Hier zijn snelle links naar verschillende methoden, u kunt naar degene springen die bij u past.
HTTP-beveiligingsheaders website toevoegen met Cloudflare
Cloudflare biedt een gratis basis website firewall en CDN service. Het mist geavanceerde beveiligingsfuncties in hun gratis plan, dus u zult moeten upgraden naar hun Pro plan, die duurder zijn.
Om Cloudflare toe te voegen aan uw site, zie onze tutorial over hoe Cloudflare gratis CDN toe te voegen in WordPress.
Zodra Cloudflare actief is op uw website, gaat u naar de SSL/TLS pagina onder uw Cloudflare account dashboard en schakelt u over naar de Edge Certificates tab.
Scroll nu naar beneden naar de HTTP Strict Transport Security (HSTS) sectie en klik op de ‘Enable HSTS’ knop.
Er verschijnt een popup met instructies die u vertellen dat u HTTPS moet hebben ingeschakeld op uw WordPress blog voordat u deze functie kunt gebruiken. Klik op de Volgende knop om verder te gaan, en u ziet de opties om HTTP security headers toe te voegen.
Vanaf hier kunt u HSTS, no-sniff headers inschakelen, HSTS toepassen op subdomeinen (als ze HTTPS gebruiken) en HSTS vooraf laden.
Deze methode biedt basisbescherming met behulp van HTTP-beveiligingsheaders. Het laat u echter niet toe X-Frame-Options toe te voegen en Cloudflare heeft geen gebruikersinterface om dat te doen.
U kunt dat nog steeds doen door een script te maken met behulp van de Workers-functie. Het maken van een HTTPS security header script kan echter onverwachte problemen veroorzaken voor beginners en daarom raden we het niet aan.
HTTP-beveiligingsheaders maken WordPress met .htaccess
Met deze methode kun je de HTTP-beveiligingsheaders in WordPress op serverniveau instellen. Dit is het makkelijkst voor beginners.
Het vereist dat u het .htaccess bestand op uw website bewerkt. Het is een serverconfiguratiebestand dat wordt gebruikt door de meest gebruikte Apache webserversoftware.
Maak gewoon verbinding met uw website via een FTP-client, of de bestandsbeheer-app in uw hostingcontrolepaneel. In de hoofdmap van je website moet je het .htaccess-bestand vinden en bewerken.
Dit zal het bestand openen in een gewone teksteditor. Onderaan het bestand kunt u de code toevoegen om HTTPS-beveiligingsheaders aan uw WordPress-website toe te voegen.
U kunt de volgende voorbeeldcode gebruiken als uitgangspunt, deze stelt de meest gebruikte HTTPs-beveiligingsheaders in met optimale instellingen:
<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>
HTTP-beveiligingsheaders toevoegen met WordPress plugin
Deze methode is iets minder effectief omdat het afhankelijk is van een WordPress plugin om de headers aan te passen. Het is echter ook de gemakkelijkste manier om HTTP-beveiligingsheaders aan uw WordPress-website toe te voegen.
Eerst moet je de Redirection plugin installeren en activeren.
Redirection WordPress plugin van John Godley installeren
Eerst moet je de Redirection plugin installeren.
- Klik op nieuwe plugin.
- Zoek op "Redirection"
- Waarschijnlijk staat de plugin al bovenaan. Check of die van John Godley is en of het is bijgewerkt naar WordPress 6.3 (vanaf augustus 2023).
- Installeer en activeer de Redirection plugin. Klaar!
Lees eventueel de handleiding gratis WordPress plugins installeren.
Na activering zal de plugin een installatiewizard tonen die je gewoon kunt volgen om de plugin in te stellen. Ga daarna naar Tools ” Redirection pagina en schakel naar het tabblad ‘Site’.
Vervolgens moet u naar beneden scrollen naar de HTTP Headers sectie en op de ‘Add Header’ knop klikken. Uit het drop-down menu moet u de optie ‘Add Security Presets’ selecteren.
Daarna moet u er nogmaals op klikken om die opties toe te voegen. Nu ziet u een lijst met vooraf ingestelde HTTP-beveiligingsheaders verschijnen in de tabel.
Je kan deze waarden overnemen, zoals in de afbeelding. Dit aangevuld met de onderstaande 2 velden:
Strict-Transport-Security veld
Vul bij Strict-Transport-Security de onderstaande waarde in. Dit is het aantal seconden, dus 2 jaar:
63072000
Content Security Policy veld
Vul bij Content Security Policy de onderstaande waarde in:
script-src 'self'
Deze headers zijn geoptimaliseerd voor beveiliging. Je kunt de XXS WordPress website”>headers testen en controleren en indien nodig wijzigen. Als u klaar bent, vergeet dan niet op de knop Bijwerken te klikken om uw wijzigingen op te slaan.
U kunt nu uw website bezoeken om er zeker van te zijn dat alles goed werkt.
Meer weten over beveiligen van je header van je website
Wil je meer informatie over beveiligen van je header van je van een WordPress website?
Check dan de volgende handleidingen:
- Upgrade Insecure Requests onveilige inhoud http https
- Controleren HTTP-beveiligingsheaders XXS WordPress site
- X-XSS protection oplossen HTTP-beveiligingsheaders
Ik heb een uitgebreide en complete handleiding geschreven over beveiligen van je header van je van je WordPress site.