Support » Allgemeine Fragen » Es sind nicht alle empfohlenen Sicherheits-Header installiert

  • matzl01

    (@matzl01)


    Hallo,
    nachdem ich durch das gehackte Datenschutz Plugin etwas erschrocken bin habe ich die komplette Seite gleich einmal umgezogen und davor soweit möglich auf einen äleren Stand zurück gesetzt.
    Ist mir vor her nicht aufgefallen aber ich habe nun 2 Fehler auf der Seite.
    Ob die vorher schon wren oder durch zurücksetzen oder umzug kommen?
    Ich bin damit etwas ahnunglos und überfordert

    Es sind nicht alle empfohlenen Sicherheits-Header installiert SSL
    Deine .htaccess-Datei enthält nicht alle empfohlenen Sicherheits-Header.
    HTTP Strict Transport Security
    Content Security Policy: Upgrade Insecure Requests
    X-XSS protection
    X-Content Type Options
    Referrer-Policy
    Expect-CT

    Der Autorisierungs-Header fehlt. Sicherheit
    Der Autorisierungs-Header stammt aus den Anwendungen von Drittanbietern, die du genehmigst. Ohne ihn können diese Anwendungen keine Verbindung zu deiner Website herstellen.

    Permalinks leeren – habe ich gemacht

    Danke im voraus!

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 4 Antworten - 1 bis 4 (von insgesamt 4)
  • Moderator Bego Mario Garde

    (@pixolin)

    Jede Webseite, die du im Internet abrufst, besteht aus einem sichtbaren Teil (dem Document Body), einem Teil mit Metadaten wie z.B. dem Webseitentitel, den du im Browser-Tag siehst (Document Header) sowie einer Reihe an Informationen, die an den Browser übertragen werden, damit klar ist, wie das Dokument behandelt werden soll. Die Informationen kannst du in den Entwickler-Tools des Browsers auslesen:

    Screenshot Einstellungen
    (zum Vergrößern anklicken)

    Anhand der Fehlermeldung nehme ich an, dass hier serverseitig nicht alle Einträge vorgenommen wurden, um die verschlüsselt übertragen Webseite sicher zu machen.

    Die Einträge sind ein bisschen kniffelig und unter Umständen solltest du auch noch mal beim Support deine Webhosters nachfragen. Ansonstn findest du in diesem Beitrag eine Anleitung, was alles zu tun ist, um die richtigen Header mitzusenden und wie du dann die Sicherheit deiner Webseite überprüfen kannst:

    Website-Sicherheit mit HTTP Security-Header erhöhen

    Mit einem der letzten WordPress-Updates ist außerdem die Möglichkeit hinzugekommen, mit Hilfe eines zusätzlichen Anwendungs-Passworts Apps den Zugriff zur Website zu ermöglichen. Dazu ist eine weitere Zeile im von WordPress in der .htaccess eingefügten Code-Blocks notwendig. Das Ganze müsste dann in etwa so aussehen:

    # BEGIN WordPress
    
    RewriteEngine On
    RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
    RewriteBase /
    RewriteRule ^index\.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    
    # END WordPress

    (neu hinzugekommen ist die Zeile RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}])

    Thread-Ersteller matzl01

    (@matzl01)

    Erst einmal Danke.

    Bei WP gibt es doch für fast alles ein Plugin, gibt es keins um die .htaccess automatisch oder ähnlich anzupassen?

    Moderator Hans-Gerd Gerhards

    (@hage)

    Gibt es, aber halte ich persönlich für keine gute Lösung, weil es besser ist, die .htaccess bezogen auf den individuellen Fall anzupassen. Ansonsten siehe hier.

    Thread-Ersteller matzl01

    (@matzl01)

    Aber man kann sich evtl. mal anschauen was dieses Teil alles umschreibt

Ansicht von 4 Antworten - 1 bis 4 (von insgesamt 4)