Dieses Plugin ist nicht mit den jüngsten 3 Hauptversionen von WordPress getestet worden. Es wird möglicherweise nicht mehr gewartet oder unterstützt und kann Kompatibilitätsprobleme haben, wenn es mit neueren Versionen von WordPress verwendet wird.

Sicherheits-Header

Beschreibung

TLS wird immer komplexer. Server Name Indication (SNI) bedeutet nun, dass HTTPS-Websites auf gemeinsam genutzten IP-Adressen laufen oder anderweitig eingeschränkt sein können. Für diese Server ist es praktisch, wenn man die gewünschten HTTP-Header ohne Zugriff auf die Webserver-Konfiguration oder die .htaccess-Datei festlegen kann.

Dieses Plugin stellt Steuerungen zur Verfügung für:

  • HSTS (Strict-Transport-Security)
  • HPKP (Public-Key-Pins)
  • Deaktivieren des Sniffings von Inhalten (X-Content-Type-Options)
  • XSS-Schutz (X-XSS-Protection)
  • Clickjacking-Milderung (X-Frame-Options auf der Website)
  • Expect-CT

HSTS wird verwendet, um sicherzustellen, dass zukünftige Verbindungen zu einer Website immer TLS verwenden, und um die Umgehung von Zertifikatswarnungen für die Website zu verhindern.

HPKP wird verwendet, wenn du dich bei der Zertifikatsausstellung nicht ausschließlich auf das Vertrauensmodell der Zertifizierungsstelle verlassen möchtest.

Das Deaktivieren von Content Sniffing ist vor allem für Seiten interessant, die es den Benutzern erlauben, Dateien bestimmter Typen hochzuladen, deren Browser aber möglicherweise dumm genug sind, andere Typen zu interpretieren und so unerwartete Angriffe zu ermöglichen.

Der XSS-Schutz aktiviert wieder den XSS-Schutz für die Website, wenn der Benutzer ihn zuvor deaktiviert hat, und setzt die „blockieren“-Option, damit Angriffe nicht stillschweigend ignoriert werden.

Der Clickjacking-Schutz ist in der Regel nur dann relevant, wenn jemand angemeldet ist, die Benutzer ihn aber angefordert haben. Vermutlich haben diese Rich-Content außerhalb der WordPress-Authentifizierung, den sie schützen möchten.

Expect-CT wird verwendet, um sicherzustellen, dass die Zertifikatstransparenz korrekt konfiguriert ist.

Installation

  1. Lade „security_headers.php“ in das Verzeichnis „/wp-content/plugins/“ hoch.
  2. Aktiviere das Plugin über das Menü „Plugins“ in WordPress.

Rezensionen

14. Mai 2020
Just a quick warning: if you enable this plugin, the Tawk.to widget is no longer displayed in Chrome, Firefox and Safari. Edge is not affected (yet?).
11. Februar 2019
Works great and makes security much easier. Thanks for this great plugin!
19. Juni 2017
Works really well! Tested with [link removed] For the future releases it would be good to include Content-Security-Policy and the forthcoming Expect-CT options.
Lies alle 8 Rezensionen

Mitwirkende & Entwickler

„Sicherheits-Header“ ist Open-Source-Software. Folgende Menschen haben an diesem Plugin mitgewirkt:

Mitwirkende

Übersetze „Sicherheits-Header“ in deine Sprache.

Interessiert an der Entwicklung?

Durchstöbere den Code, sieh dir das SVN Repository an oder abonniere das Entwicklungsprotokoll per RSS.

Änderungsprotokoll

1.1

Fehlenden Close-Anker korrigiert, der das aktuelle WordPress kaputt macht

1.0

Unterstützung für die Seite wp-login.php hinzugefügt

Unterstützung für Expect-CT-Header hinzugefügt

0.9

Unnötigen Whitespace im HSTS-Header entfernt (Danke Thomas)

Referrer-Policy-Header hinzugefügt

Der Name des Plugins wurde von „HTTP Headers“ in „Security Header“ korrigiert (Danke Jamie)

Abschließendes Semikolon aus der X-XSS-Protection entfernt (es funktionierte, wurde aber nicht benötigt)

0.8

Header zum Adminbereich von WordPress hinzugefügt

Option hinzugefügt, um den X-Frame-Options-Header für die Website festzulegen

HSTS Preload Header hinzugefügt (Danke Jamie)

0.7

report-uri hinzugefügt

Handhabung von nicht-numerischen Leerstrings für HPKP max-age korrigiert

0.6

HPKP-Unterstützung

Prüfung auf TLS, bevor HSTS- oder HPKP-Header ausgesendet werden

0.5

h2 in h1 für Barrierefreiheit nach #31650 angepasst

0.4

Lizenzänderung
Wortlaut für den XSS-Schutz in der Readme-Datei verdeutlicht

0.3

Zur Veröffentlichung vorbereitet

0.2

Änderungen der Sonarqube-Datei und -Formatierung hinzugefügt

0.1

  • Erstveröffentlichung