Eine perfekte Ergänzung zum Plugin ADC-Core_XH (
viewtopic.php?f=12&t=16396)
(English translation: see previous post)
Hallo Olaf,
vielen herzlichen Dank für dieses supernützliche Plugin, welches sicher mit viel Arbeit verbunden war und viel Zeit gekostet hat.
Denn Security Header sind wirklich kein einfaches Thema.
Ich beschäftige mich mit dem Thema jetzt seit ziemlich gemau einem Jahr und habe gerade vorgestern noch einen Security Header entdeckt, der kaum im Internet erwähnt wird. Also packte ich den auch noch in meine .htaccess.
Dies nur zur Einleitung für alle Leser, die sich bisher noch nicht damit beschäftigen und um zu erkennen, welches gewaltige Thema dieses kleine unscheinbare Plugin da für seine Benutzer anpackt.
Ach so, klingt für Unbedarfte immer noch kryptisch. Sorry!
Es geht hier um den optimalen Schutz Deiner Website, Verhinderung der Übernahme durch böse Buben.
Ist ohne Einsatz der Security Header für Profis gar nicht so schwer wie man denkt.
Von „Man-in-the-Middle-Angriffen” hast Du vielleicht schon gehört? Dagegen helfen bei guter Implementierung diese Security Header auch.
Außer den technischen Voraussetzungen sollte technisch-analytisches Verständnis vorhanden sein.
Denn wer die Grundlagen für Security Header noch nicht kennt, kommt nicht weit oder macht seine Website ganz oder teilweise betriebsunfähig.
Also: man muss kein IT-ler sein, aber wenn die Website gewerbsmäßig betrieben wird und unbedingt erreichbar sein muss, sollte man sich zuerst schlau machen.
Aus eigener Erfahrung mit zwei Hobby-Websites kann ich sagen, dass sich der Aufwand lohnt.
Aber: selbst wenn man alles verstanden hat und alles korrekt einstellt, kann es an Restriktionen des genutzten Webhosters scheitern.
Auch für Profis ist dieses Plugin sehr nützlich, da es viel bedienungsfreundlicher ist, in einer selbsterklärenden Eingabemaske Werte einzutragen, zu prüfen oder zu ändern.
Und wer sich technisch nicht so gut auskennt, aber von einem Profi eine genaue Anweisung bekommen hat/im Internet gelesen hat, was er optimieren kann, braucht keine .htaccess laden und „kryptisches Zeugs lesen”.
Wer solch ein schwieriges Thema anpackt, braucht gutes Werkzeug, um das Ergebnis zu prüfen und eventuelle Fehlkonfigurationen rasch zu erkennen.
Meine Lieblingstools zum Testen der Website nach Implementierung:
Achtung: immer Häkchen setzen bei
[X] Don't include my site in the public results
[X] Do not show the results on the boards (damit Hacker sich nicht eingeladen fühlen)
https://observatory.mozilla.org (ohne zusätzlichen Einsatz von Security Headers wird Rating nie besser als D)
https://securityheaders.com (auch dieses Analysetool wird Deine Website erstmal schlecht dastehen lassen, bietet aber weiterführende Links zu hilfreichen Seiten.
https://scotthelme.co.uk/csp-cheat-sheet/
Außerdem für viele Tipps und Tricks per .htaccess gut:
https://htaccessbook.com/important-security-headers/
Außerdem für viele Tipps und Tricks per .htaccess gut:
https://perishablepress.com/