Blog

Security headers instellen voor WordPress

Security headers zorgen voor een extra beveiligingslaag voor je website. Ze zorgen ervoor dat je WordPress website beter beschermd wordt tegen XSS (Cross Site Scripting), code-injecties en andere mogelijke aanvallen.

Maar vaak worden deze headers niet ingesteld omdat men niet weet waarom en hoe je dit kunt instellen. Terwijl dit eigenlijk heel gemakkelijk is. Een uitleg.

Wat zijn security headers?

Jouw bezoeker verstuurt een verzoek (HTTP  Request) met zijn browser naar jouw website om een pagina op te halen. Door security headers op je website in te stellen kun je aan de browser doorgeven aan welke regels zijn verzoek moet voldoen om een goed response terug te krijgen. Voldoet het request niet aan deze regels dan wordt het request geweigerd. Mogelijke gevaarlijke verzoeken worden zo al bij de deur geweigerd.

Welke security headers zijn er?

Er bestaan verschillende Security headers die je aan een bezoeker kunt meegeven. Hieronder de belangrijkste headers:

Welke security headers heeft mijn website?

Security header scan website

Met de online tool https://securityheaders.com kun je makkelijk checken welke Security Headers je wel en nog niet hebt geïnstalleerd. Vul je website url in en vervolgens krijg je een lijst met de security headers die nog zijn geïnstalleerd (groen) en die ontbreken (rood). Makkelijker kan niet.

Hoe kan ik de security header installeren op WordPress

Let er wel op dat het verkeerd instellen van security headers problemen op je website kan veroorzaken. Via de development tools van je browser kun je in de console tab zien of een bepaalde bestanden/scripts/styling of iframes niet meer worden ingeladen doordat ze geblockt worden door je security headers. Test de security header instellingen daarom altijd goed door!!!

Het instellen van de Security headers kun een aantal plaatsen doen. Hieronder een aantal mogelijkheden.

 

Op de webserver zelf

Heb je toegang tot de webserver waarop je website draait (zoals bijv. een Apache of Nginx webserver), dan kun je de headers in het configuratie bestand van de website zetten. Hoe je dit kunt doen kun je bijvoorbeeld lezen op https://computingforgeeks.com/configure-http-security-headers-in-nginx-apache/

Via de plugin redirection

Heb je geen toegang tot de webserver dan kun je altijd nog de plugin “redirection” installeren. Naast een goed 301 redirect functionaliteit kan je in deze plugin ook security headers toevoegen en beheren. Als je in de plugin zit, klik op het site linkje en onderaan de pagina zie het kopje “HTTP Header”.  Hier kun je al je security headers beheren. Groot voordeel van redirection is dat je headers goed en snel kunt  doortesten of alles op je website nog werkt.

Meer informatie over WordPress beveiliging?

Wil je nog meer weten over beveiliging van je WordPress website lees dan ook deze blog artikelen:

Gerelateerde artikelen