Beschreibung
TLS wird immer komplexer. Server Name Indication (SNI) bedeutet nun, dass HTTPS-Websites auf gemeinsam genutzten IP-Adressen laufen oder anderweitig eingeschränkt sein können. Für diese Server ist es praktisch, wenn man die gewünschten HTTP-Header ohne Zugriff auf die Webserver-Konfiguration oder die .htaccess-Datei festlegen kann.
Dieses Plugin stellt Steuerungen zur Verfügung für:
- HSTS (Strict-Transport-Security)
- HPKP (Public-Key-Pins)
- Deaktivieren des Sniffings von Inhalten (X-Content-Type-Options)
- XSS-Schutz (X-XSS-Protection)
- Clickjacking-Milderung (X-Frame-Options auf der Website)
- Expect-CT
HSTS wird verwendet, um sicherzustellen, dass zukünftige Verbindungen zu einer Website immer TLS verwenden, und um die Umgehung von Zertifikatswarnungen für die Website zu verhindern.
HPKP wird verwendet, wenn du dich bei der Zertifikatsausstellung nicht ausschließlich auf das Vertrauensmodell der Zertifizierungsstelle verlassen möchtest.
Das Deaktivieren von Content Sniffing ist vor allem für Seiten interessant, die es den Benutzern erlauben, Dateien bestimmter Typen hochzuladen, deren Browser aber möglicherweise dumm genug sind, andere Typen zu interpretieren und so unerwartete Angriffe zu ermöglichen.
Der XSS-Schutz aktiviert wieder den XSS-Schutz für die Website, wenn der Benutzer ihn zuvor deaktiviert hat, und setzt die „blockieren“-Option, damit Angriffe nicht stillschweigend ignoriert werden.
Der Clickjacking-Schutz ist in der Regel nur dann relevant, wenn jemand angemeldet ist, die Benutzer ihn aber angefordert haben. Vermutlich haben diese Rich-Content außerhalb der WordPress-Authentifizierung, den sie schützen möchten.
Expect-CT wird verwendet, um sicherzustellen, dass die Zertifikatstransparenz korrekt konfiguriert ist.
Installation
- Lade „security_headers.php“ in das Verzeichnis „/wp-content/plugins/“ hoch.
- Aktiviere das Plugin über das Menü „Plugins“ in WordPress.
Rezensionen
Mitwirkende & Entwickler
„Sicherheits-Header“ ist Open-Source-Software. Folgende Menschen haben an diesem Plugin mitgewirkt:
Mitwirkende
Übersetze „Sicherheits-Header“ in deine Sprache.
Interessiert an der Entwicklung?
Durchstöbere den Code, sieh dir das SVN Repository an oder abonniere das Entwicklungsprotokoll per RSS.
Änderungsprotokoll
1.1
Fehlenden Close-Anker korrigiert, der das aktuelle WordPress kaputt macht
1.0
Unterstützung für die Seite wp-login.php hinzugefügt
Unterstützung für Expect-CT-Header hinzugefügt
0.9
Unnötigen Whitespace im HSTS-Header entfernt (Danke Thomas)
Referrer-Policy-Header hinzugefügt
Der Name des Plugins wurde von „HTTP Headers“ in „Security Header“ korrigiert (Danke Jamie)
Abschließendes Semikolon aus der X-XSS-Protection entfernt (es funktionierte, wurde aber nicht benötigt)
0.8
Header zum Adminbereich von WordPress hinzugefügt
Option hinzugefügt, um den X-Frame-Options-Header für die Website festzulegen
HSTS Preload Header hinzugefügt (Danke Jamie)
0.7
report-uri hinzugefügt
Handhabung von nicht-numerischen Leerstrings für HPKP max-age korrigiert
0.6
HPKP-Unterstützung
Prüfung auf TLS, bevor HSTS- oder HPKP-Header ausgesendet werden
0.5
h2 in h1 für Barrierefreiheit nach #31650 angepasst
0.4
Lizenzänderung
Wortlaut für den XSS-Schutz in der Readme-Datei verdeutlicht
0.3
Zur Veröffentlichung vorbereitet
0.2
Änderungen der Sonarqube-Datei und -Formatierung hinzugefügt
0.1
- Erstveröffentlichung