HTTP Headers toevoegen aan mijn/een WordPress-site

  CMS, Handleidingen

Inleiding

In dit artikel gaan wij u stap voor stap uitleggen hoe u uw (WordPress-) website meer kan beveiligen en aanvallen kan beperken en zelfs voorkomen.

  • We hebben in dit artikel een test WordPress-site gemaakt om u zo goed mogelijk uit te leggen hoe u dit plug-in kunt instellen in de backend van uw website/webwinkel.

HTTP Headers: Wat is zo belangrijk om http headers toe te voegen aan mijn website?

Het is belangrijk om HTTP (Security) headers toe te passen aan uw (WordPress-) website. Het voegt een extra beschermingslaag tegen kwaadwillenden (hackers).

Belangrijk: maak eerst een back-up van uw WordPress-site

Wij raden u aan om eerst handmatig back-up te maken van uw website. Voor onze klanten: weet u niet hoe u handmatig een back-up kunt maken?

Let op, om gebruik te maken van HTTP Security Headers moet er een SSL certificaat geforceerd zijn op uw WordPress-site.

Inloggen in de backend van uw WordPress-site

U vult uw gebruikersnaam of e-mailadres in en vervolgens het bijbehorende wachtwoord.

Uw dashboard van WordPress-site

Links van uw scherm gaat u naar “Plugins” en drukt daarop. Dan komt u uit op de WordPress Plugin Repository.

WordPress Plugin Repository: plugin downloaden en installeren

Rechtsboven ziet u het zoekveld TrefwoordPlugins zoeken” typt u het volgende in het zoekveld: ‘Better Headers‘ en binnen enkele minuten komt zoekresultaten te voorschijn.

Plugin gevonden: Better Headers downloadden en vervolgens activeren

 

(In ons voorbeeld is de plug-in al actief)

Druk op Nu Installeren en klik vervolgens op Activeren. Better Headers wordt vervolgens geïnstalleerd. Even geduld.

 

 

Dan gaat u in de dashboard van uw WordPress-site naar “Instellingen” en vervolgens klikt u op: Better Headers. U ziet dan het volgende scherm.

Referrer Policy Instellen

U kiest de derde optie:

Feature Policy

Bescherm tegen misbruik van functies door de header Feature-Policy in te stellen. Als deze site de volgende functies niet gebruikt, kunt u deze het beste uitschakelen. Wij hebben alle functies in Feature Policy uitgeschakeld (¨Disabled¨), omdat wij deze functies niet gebruiken op onze bedrijfswebsites.

Strict Transport Security

U stelt de volgende instellingen in bij STS header uit ons voorbeeld:

 

Expect Certificate Transparency

U stelt de volgende instellingen in bij ECT header uit ons voorbeeld:

 

Miscellaneous

U stelt de volgende instellingen in bij Miscellaneous – header uit ons voorbeeld:

 

 

 

Laatste stap

Sla nu alle aanpassingen op om alle headers op te slaan: Wijzigingen opslaan.

Saved Headers

In dit voorbeeld ziet u de volgende opgeslagen HTTP (security) headers:

Saved Headers


Referrer-Policy no-referrer-when-downgrade
Feature-Policy accelerometer ‘none’; ambient-light-sensor ‘none’; autoplay ‘none’; camera ‘none’; document-domain ‘none’; encrypted-media ‘none’; fullscreen ‘none’; geolocation ‘none’; gyroscope ‘none’; legacy-image-formats ‘none’; magnetometer ‘none’; microphone ‘none’; midi ‘none’; oversized-images ‘none’; payment ‘none’; speaker ‘none’; sync-xhr ‘none’; unoptimized-images ‘none’; unsized-media ‘none’; usb ‘none’; vibrate ‘none’; vr ‘none’
Strict-Transport-Security max-age=31104000; includeSubDomains; preload
Expect-CT max-age=31104000; enforce
X-Content-Type-Options nosniff
X-Frame-Options sameorigin
X-XSS-Protection 1; mode=block
X-Permitted-Cross-Domain-Policies none

HTTP Security controleren (15): Externe website

Ga vervolgens op https://www.securityheaders.com en typ het volledige adres van uw website (https://www.mijnwebsite.nl) en zorg dat u de volgende opties aanvinkt: Hide results en Follow redirects. Zie het onderstaande screenshot:

HTTP Security controleren (16): Externe website – resultaat

Op de website van securityheaders.com ziet u de resultaten van de http security headers. Een voorbeeld van zo’n resultaat ziet u onder hier:

We hebben het Content-Security-Policy een basis set-up gegeven (zie het bovenstaande voorbeeld), omdat Content-Security-Policy ingewikkelder zijn in te stellen en uw WordPress-site zou niet goed meer (kunnen) werken. Maar deze basis set-up die wij hebben doorgevoerd is voldoende om uw WordPress-beveiliging te verharden.

Extra ondersteuning nodig?

Komt u nog steeds niet uit? U kunt gebruik maken van onze additionele dienst Website Beheer & Ondersteuning, kijkt u hier voor meer informatie op onze website. Wij helpen u graag met het instellen van deze plug-in.