Inleiding
In dit artikel gaan wij u stap voor stap uitleggen hoe u uw (WordPress-) website meer kan beveiligen en aanvallen kan beperken en zelfs voorkomen.
- We hebben in dit artikel een test WordPress-site gemaakt om u zo goed mogelijk uit te leggen hoe u dit plug-in kunt instellen in de backend van uw website/webwinkel.
HTTP Headers: Wat is zo belangrijk om http headers toe te voegen aan mijn website?
Het is belangrijk om HTTP (Security) headers toe te passen aan uw (WordPress-) website. Het voegt een extra beschermingslaag tegen kwaadwillenden (hackers).
- Lees meer ons artikel.
Belangrijk: maak eerst een back-up van uw WordPress-site
Wij raden u aan om eerst handmatig back-up te maken van uw website. Voor onze klanten: weet u niet hoe u handmatig een back-up kunt maken?
- Lees dit artikel: Handmatig back-ups maken met DirectAdmin
- Bent u geen klant bij ons en gebruikt u geen DirectAdmin? Informeer bij uw eigen hostingprovider.
Let op, om gebruik te maken van HTTP Security Headers moet er een SSL certificaat geforceerd zijn op uw WordPress-site.
Inloggen in de backend van uw WordPress-site
U vult uw gebruikersnaam of e-mailadres in en vervolgens het bijbehorende wachtwoord.
- Werkt uw gebruikersnaam met bijbehorende wachtwoord niet meer? Lees dit kb-artikel: Gebruikersnaam of wachtwoord werken niet meer [WordPress]
Uw dashboard van WordPress-site
Links van uw scherm gaat u naar “Plugins” en drukt daarop. Dan komt u uit op de WordPress Plugin Repository.
WordPress Plugin Repository: plugin downloaden en installeren
Rechtsboven ziet u het zoekveld Trefwoord “Plugins zoeken” typt u het volgende in het zoekveld: ‘Better Headers‘ en binnen enkele minuten komt zoekresultaten te voorschijn.
Plugin gevonden: Better Headers downloadden en vervolgens activeren
(In ons voorbeeld is de plug-in al actief)
Druk op Nu Installeren en klik vervolgens op Activeren. Better Headers wordt vervolgens geïnstalleerd. Even geduld.
Dan gaat u in de dashboard van uw WordPress-site naar “Instellingen” en vervolgens klikt u op: Better Headers. U ziet dan het volgende scherm.
Referrer Policy Instellen
U kiest de derde optie:
| Referrer Policy |
|---|
Feature Policy
Bescherm tegen misbruik van functies door de header Feature-Policy in te stellen. Als deze site de volgende functies niet gebruikt, kunt u deze het beste uitschakelen. Wij hebben alle functies in Feature Policy uitgeschakeld (¨Disabled¨), omdat wij deze functies niet gebruiken op onze bedrijfswebsites.
Strict Transport Security
U stelt de volgende instellingen in bij STS header uit ons voorbeeld:
| Enable | |
|---|---|
| Maximum Age | 12 months |
| Include Subdomains | |
|---|---|
| Allow Preload |
Expect Certificate Transparency
U stelt de volgende instellingen in bij ECT header uit ons voorbeeld:
| Enable | |
|---|---|
| Maximum Age | 12 months |
| Enforce |
|---|
Miscellaneous
U stelt de volgende instellingen in bij Miscellaneous – header uit ons voorbeeld:
| Content Type Options | |
|---|---|
| Frame Options | |
| Cross Site Scripting Protection | |
| Permitted Cross Domain Policies |
Laatste stap
Sla nu alle aanpassingen op om alle headers op te slaan: Wijzigingen opslaan.
Saved Headers
In dit voorbeeld ziet u de volgende opgeslagen HTTP (security) headers:
Saved Headers
| Referrer-Policy | no-referrer-when-downgrade |
|---|---|
| Feature-Policy | accelerometer ‘none’; ambient-light-sensor ‘none’; autoplay ‘none’; camera ‘none’; document-domain ‘none’; encrypted-media ‘none’; fullscreen ‘none’; geolocation ‘none’; gyroscope ‘none’; legacy-image-formats ‘none’; magnetometer ‘none’; microphone ‘none’; midi ‘none’; oversized-images ‘none’; payment ‘none’; speaker ‘none’; sync-xhr ‘none’; unoptimized-images ‘none’; unsized-media ‘none’; usb ‘none’; vibrate ‘none’; vr ‘none’ |
| Strict-Transport-Security | max-age=31104000; includeSubDomains; preload |
| Expect-CT | max-age=31104000; enforce |
| X-Content-Type-Options | nosniff |
| X-Frame-Options | sameorigin |
| X-XSS-Protection | 1; mode=block |
| X-Permitted-Cross-Domain-Policies | none |
HTTP Security controleren (15): Externe website
Ga vervolgens op https://www.securityheaders.com en typ het volledige adres van uw website (https://www.mijnwebsite.nl) en zorg dat u de volgende opties aanvinkt: Hide results en Follow redirects. Zie het onderstaande screenshot:
HTTP Security controleren (16): Externe website – resultaat
Op de website van securityheaders.com ziet u de resultaten van de http security headers. Een voorbeeld van zo’n resultaat ziet u onder hier:
We hebben het Content-Security-Policy een basis set-up gegeven (zie het bovenstaande voorbeeld), omdat Content-Security-Policy ingewikkelder zijn in te stellen en uw WordPress-site zou niet goed meer (kunnen) werken. Maar deze basis set-up die wij hebben doorgevoerd is voldoende om uw WordPress-beveiliging te verharden.
Extra ondersteuning nodig?
Komt u nog steeds niet uit? U kunt gebruik maken van onze additionele dienst Website Beheer & Ondersteuning, kijkt u hier voor meer informatie op onze website. Wij helpen u graag met het instellen van deze plug-in.