Strict-Transport-Security (HSTS)
Door het implementeren van deze header geef je aan dat de site niet gebruikt kan worden wanneer het certificaat ongeldig is. Dit voorkomt dat data van mensen gestolen wordt, als een hacker in een lokaal netwerk je website namaakt. Wij raden de gegevens aan die de security headers website aangeeft in de resultaten.
Content-Security-Policy
Voorkomt dat op je website scripts worden ingeladen die niks met je site te maken hebben. Als je website gehackt wordt, en de hacker heeft code geïmplementeerd die wijst naar een ander domein, voorkomt deze regel dat de code uitgevoerd kan worden.
X-Frame-Options
Voorkomt dat je website op een andere website ingesloten kan worden. Hierdoor kunnen mensen alleen gebruikmaken van functies op je site als ze deze daadwerkelijk via jouw domein bezoeken. Ook hier raden we de gegevens aan die de security headers website aangeeft, tenzij je opzet afwijkt.
X-Content-Type-Options
Voor elk bestand op je website wordt door de server een content type aangegeven, zodat de browser van de bezoeker weet hoe deze het moet interpreteren. Kwaadwillenden proberen soms om bestanden anders te interpreteren om informatie afhandig te maken. Als je bestand een kwetsbaarheid bevat kan dit werken. Door de aangeraden optie van de site ‘Security Headers’ te implementeren, voorkom je dat hackers dit kunnen doen.
De volgende headers zijn optioneel
Referrer-Policy
Een referrer vertelt een webserver van welke pagina een gebruiker af komt wanneer deze naar en vanaf je website komt. Als iemand bijvoorbeeld jouw website opzoekt op Google, en de bezoeker drukt op jouw link in Google, dan registreert de server dat de bezoeker van Google af komt.
Hetzelfde kan gebeuren via jouw website. Als jij een link zet op je website die verwijst naar google.nl, kan de server van Google zien dat de bezoeker vanaf jouw server af komt. Als je gevoelige informatie verwerkt, kan het zijn dat je dit wilt uitzetten. Dit doe je door middel van de volgende regel:
Referrer-Policy: no-referrer
Deze header zorgt ervoor dat bij geen enkel bezoek een referrer wordt meegenomen. Dit is ook gelijk de meest strenge instelling voor de betreffende header. Als je website afhankelijk is van de informatie en de referrer gebruikt om gedrag van website bezoekers te analyseren, raden wij af om deze header te gebruiken.
Feature-Policy
Deze optionele sucurity header is zeer uitgebreid. Hiermee kun je limiteren welke functies uitgevoerd kunnen worden door bepaalde bestanden. Omdat de header zeer uitgebreid is, hebben wij hier geen eenduidig advies voor. Wij raden aan om je goed in te lezen in de documentatie voor deze header alvorens je deze opstelt en instelt.
Security Headers installeren
Security headers zijn op twee manieren toe te passen. Wij bespreken hier de mogelijkheden.
Toepassen via WordPress
Als je gebruik maakt van een WordPress security plug-in is het mogelijk om de headers via de betreffende plug-in in te stellen. Lees alvorens het doorvoeren van de gewenste headers de documentatie van de plug-in goed door, of vraag hulp aan de ontwikkelaar van de betreffende plug-in.
Het is belangrijk om te weten dat je headers kloppen voordat je ze implementeert in een security plug-in. Als je een fout maakt bij het toepassen kan je website namelijk onbereikbaar worden. Wij raden aan om eerst een back-up te maken via ons paneel op admin.savvii.com. Als er iets fout gaat, kan je namelijk snel en gemakkelijk de back-up weer terugzetten.
Toepassen op de server
Om te voorkomen dat de headers worden overschreven bij een update, kan je het beste de headers toe laten voegen op de server. Dit zorgt ervoor dat bij WordPress wijzigingen de security header instellingen niet verloren gaan.
Hulp nodig?
Wij kunnen de headers voor jouw website toevoegen. Neem hiervoor contact met ons op via support@savvii.com. In het bericht geef je de security headers op die je wilt implementeren, inclusief alle instellingen voor de headers. Geef hierbij ook aan voor welk domein de headers ingesteld moeten worden.
Reactie achterlaten