Security headers zorgen voor een extra beveiligingslaag voor je website. Ze zorgen ervoor dat je WordPress website beter beschermd wordt tegen XSS (Cross Site Scripting), code-injecties en andere mogelijke aanvallen.
Maar vaak worden deze headers niet ingesteld omdat men niet weet waarom en hoe je dit kunt instellen. Terwijl dit eigenlijk heel gemakkelijk is. Een uitleg.
Wat zijn security headers?
Jouw bezoeker verstuurt een verzoek (HTTP Request) met zijn browser naar jouw website om een pagina op te halen. Door security headers op je website in te stellen kun je aan de browser doorgeven aan welke regels zijn verzoek moet voldoen om een goed response terug te krijgen. Voldoet het request niet aan deze regels dan wordt het request geweigerd. Mogelijke gevaarlijke verzoeken worden zo al bij de deur geweigerd.
Welke security headers zijn er?
Er bestaan verschillende Security headers die je aan een bezoeker kunt meegeven. Hieronder de belangrijkste headers:
- HTTP Strict Transport Security (HSTS). Deze Header zorgt ervoor dat jouw website alleen via een beveiligde verbinding (https:) kan worden opgevraagd.
- X-FrameOptions. Deze header zorgt ervoor dat jouw website niet in een iFrame op andere webistes kan worden ingeladen.
- Content Security Policy. Met deze header geef je aan welke content een browser wel of niet mag inladen als hij een pagina van jouw website opvraagd.
- X-XSS-Protection. Deze header biedt bescherming tegen Cross Site Scripting.
- Access-Control-Allow-Origin. Met deze header geef je aan welke domeinen jouw content ook mogen tonen.(Cross-Origin Resource Sharing)
- X-Content-Type-Options. Deze header biedt bescherming tegen MIME-Sniffing. Een browser moet hierdoor het website bestand renderen op basis van het MIME-type.
- Referrer-Policy. Deze header zorgt ervoor dat jouw website informatie niet wordt doorgegevens via onveilige websites.
- Permissions-Policy. Met deze header kun je aangeven welke externe scripts (zoals Google Analytics) wel mogen worden gedraaid en welke niet. Dit als beveiliging tegen Cross Site Scripting
Welke security headers heeft mijn website?
Met de online tool https://securityheaders.com kun je makkelijk checken welke Security Headers je wel en nog niet hebt geïnstalleerd. Vul je website url in en vervolgens krijg je een lijst met de security headers die nog zijn geïnstalleerd (groen) en die ontbreken (rood). Makkelijker kan niet.
Hoe kan ik de security header installeren op WordPress
Let er wel op dat het verkeerd instellen van security headers problemen op je website kan veroorzaken. Via de development tools van je browser kun je in de console tab zien of een bepaalde bestanden/scripts/styling of iframes niet meer worden ingeladen doordat ze geblockt worden door je security headers. Test de security header instellingen daarom altijd goed door!!!
Het instellen van de Security headers kun een aantal plaatsen doen. Hieronder een aantal mogelijkheden.
Op de webserver zelf
Heb je toegang tot de webserver waarop je website draait (zoals bijv. een Apache of Nginx webserver), dan kun je de headers in het configuratie bestand van de website zetten. Hoe je dit kunt doen kun je bijvoorbeeld lezen op https://computingforgeeks.com/configure-http-security-headers-in-nginx-apache/
Via de plugin redirection
Heb je geen toegang tot de webserver dan kun je altijd nog de plugin “redirection” installeren. Naast een goed 301 redirect functionaliteit kan je in deze plugin ook security headers toevoegen en beheren. Als je in de plugin zit, klik op het site linkje en onderaan de pagina zie het kopje “HTTP Header”. Hier kun je al je security headers beheren. Groot voordeel van redirection is dat je headers goed en snel kunt doortesten of alles op je website nog werkt.
