Support » Allgemeine Fragen » Security Report Summary (Einträge in htaccess)

  • Hallo Gurus, eine Frage zur htaccess.
    Ich habe da ein paar Policys in die htaccess eingetragen. Seitenansicht klappt bei folgenden Einträgen ohne Probleme:

    Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
    Header set X-Content-Type-Options "nosniff"
    Header set X-XSS-Protection "1; mode=block"
    Header set X-Frame-Options "sameorigin"

    Setze ich aber jetzt noch die drei Letzten

    Header set Content-Security-Policy "default-src 'self'; script-src 'self'; object-src 'self'; style-src 'self'; img-src 'self' data:; media-src 'self'; child-src 'self'; font-src 'self'; connect-src 'self'"
    Header set X-Content-Security-Policy "default-src 'self'; script-src 'self'; object-src 'self'; style-src 'self'; img-src 'self' data:; media-src 'self'; child-src 'self'; font-src 'self'; connect-src 'self'"
    Header set X-WebKit-CSP "default-src 'self'; script-src 'self'; object-src 'self'; style-src 'self'; img-src 'self' data:; media-src 'self'; frame-src 'self'; font-src 'self'; connect-src 'self'"
    
    Header set X-Permitted-Cross-Domain-Policies "none"
    Header set Referrer-Policy "no-referrer-when-downgrade"

    ist zwar das Ergebnis der Abfrage super, die Seite weist aber Fehler auf.
    Gibt es da für WordPress ein Plugin welches diese Aktionen macht?
    Freue mich auf Antworten und Grüße in die Runde,
    Michael

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 2 Antworten - 1 bis 2 (von insgesamt 2)
  • Moderator Bego Mario Garde

    (@pixolin)

    All-in-One-Security-Plugins (die teilweise auch Header-Regeln in die .htaccess schreiben), werden von erfahrenen AnwenderInnen oft skeptisch betrachtet. Sie vermitteln schnell das trügerisches Gefühl, alles zur Absicherung unternommen zu haben, erklären aber oft nicht die Hintergründe für verschiedene Maßnahmen (die wahrscheinlich Einsteiger auch überfordern würden) und zeigen vor allem nicht auf, wo sie nicht aktiv werden. Für Einsteiger, die sonst gar nichts zur Absicherung ihrer Website tun, mag das „wenigstens etwas“ sein, aber da du vermutlich nicht gerade Einsteiger bist, würde ich von Sicherheits-Plugins eher abraten.

    Die Definition von Headern sollte eigentlich durch den Systemadminstrator erfolgen und nicht durch den Anwender. Ein pauschaler Eintrag in eine .htaccess, ist auf einem nginx-Server auch wenig hilfreich. Wenn du selber einen VPS administrierst, bist du mit deinen Fragen zu Header-Regeln in einem Forum für Webserver-Administration wahrscheinlich besser aufgehoben.

    Die meisten WordPress-AnwenderInnen dürften keinerlei Header-Regeln nutzen und trotzdem eine sichere Website fahren.

    Thread-Ersteller mipau

    (@mipau)

    Danke Bego Mario Garde.
    Bin auch nicht glücklich viele Plugins zu nutzen, deswegen sind die aufs Minimum reduziert.
    Ok, werde mich da auf dem Server umschauen.
    Bislang hatte ich nur html Webseiten ohne CMS. Dachte das würde hier auch so gehen wie bei den alten Seiten. Zur Absicherung habe ich WordFence auf der jetzigen Seite.
    Dennoch bin ich über jeden Tipp dankbar.
    Grüße Michael.

Ansicht von 2 Antworten - 1 bis 2 (von insgesamt 2)
  • Das Thema „Security Report Summary (Einträge in htaccess)“ ist für neue Antworten geschlossen.