Verschillende security headers, hun functie en hoe installeer ik ze?

Webhosting
Len, 5 juni 2020

Voor het verbeteren van je websitebeveiliging is het mogelijk om security headers te installeren. Het is echter wel nodig om vooraf goed te bepalen welke je gaat installeren. Dit om op een later moment problemen te voorkomen.

Controleer welke security headers je website nog niet heeft

Security headers kunnen geïmplementeerd worden via de server, of via je website. Als je een WordPress security plug-in gebruikt, kan het zijn dat ze al geïmplementeerd zijn.

Om te zien welke headers jouw website gebruikt, kun je gebruik maken van deze tool. De site ‘Security Headers’ scanned van buitenaf welke headers je gebruikt, waardoor je in elke situatie de toegepaste headers kunt zien. Een resultaat voor een website zonder specifieke security headers kan er als volgt uit zien:

Security Headers

Uitleg verschillende security headers

De security headers website geeft al een goede uitleg, we hebben extra aanvullingen voor de verschillende headers:

Strict-Transport-Security (HSTS)

Door het implementeren van deze header geef je aan dat de site niet gebruikt kan worden wanneer het certificaat ongeldig is. Dit voorkomt dat data van mensen gestolen wordt, als een hacker in een lokaal netwerk je website namaakt. Wij raden de gegevens aan die de security headers website aangeeft in de resultaten.

Content-Security-Policy

Voorkomt dat op je website scripts worden ingeladen die niks met je site te maken hebben. Als je website gehackt wordt, en de hacker heeft code geïmplementeerd die wijst naar een ander domein, voorkomt deze regel dat de code uitgevoerd kan worden.

X-Frame-Options

Voorkomt dat je website op een andere website ingesloten kan worden. Hierdoor kunnen mensen alleen gebruikmaken van functies op je site als ze deze daadwerkelijk via jouw domein bezoeken. Ook hier raden we de gegevens aan die de security headers website aangeeft, tenzij je opzet afwijkt.

X-Content-Type-Options

Voor elk bestand op je website wordt door de server een content type aangegeven, zodat de browser van de bezoeker weet hoe deze het moet interpreteren. Kwaadwillenden proberen soms om bestanden anders te interpreteren om informatie afhandig te maken. Als je bestand een kwetsbaarheid bevat kan dit werken. Door de aangeraden optie van de site ‘Security Headers’ te implementeren, voorkom je dat hackers dit kunnen doen.

De volgende headers zijn optioneel

Referrer-Policy

Een referrer vertelt een webserver van welke pagina een gebruiker af komt wanneer deze naar en vanaf je website komt. Als iemand bijvoorbeeld jouw website opzoekt op Google, en de bezoeker drukt op jouw link in Google, dan registreert de server dat de bezoeker van Google af komt.

Hetzelfde kan gebeuren via jouw website. Als jij een link zet op je website die verwijst naar google.nl, kan de server van Google zien dat de bezoeker vanaf jouw server af komt. Als je gevoelige informatie verwerkt, kan het zijn dat je dit wilt uitzetten. Dit doe je door middel van de volgende regel:

Referrer-Policy: no-referrer

Deze header zorgt ervoor dat bij geen enkel bezoek een referrer wordt meegenomen. Dit is ook gelijk de meest strenge instelling voor de betreffende header. Als je website afhankelijk is van de informatie en de referrer gebruikt om gedrag van website bezoekers te analyseren, raden wij af om deze header te gebruiken.

Feature-Policy

Deze optionele sucurity header is zeer uitgebreid. Hiermee kun je limiteren welke functies uitgevoerd kunnen worden door bepaalde bestanden. Omdat de header zeer uitgebreid is, hebben wij hier geen eenduidig advies voor. Wij raden aan om je goed in te lezen in de documentatie voor deze header alvorens je deze opstelt en instelt.

Security Headers installeren

Security headers zijn op twee manieren toe te passen. Wij bespreken hier de mogelijkheden.

Toepassen via WordPress

Als je gebruik maakt van een WordPress security plug-in is het mogelijk om de headers via de betreffende plug-in in te stellen. Lees alvorens het doorvoeren van de gewenste headers de documentatie van de plug-in goed door, of vraag hulp aan de ontwikkelaar van de betreffende plug-in.

Het is belangrijk om te weten dat je headers kloppen voordat je ze implementeert in een security plug-in. Als je een fout maakt bij het toepassen kan je website namelijk onbereikbaar worden. Wij raden aan om eerst een back-up te maken via ons paneel op admin.savvii.com. Als er iets fout gaat, kan je namelijk snel en gemakkelijk de back-up weer terugzetten.

Toepassen op de server

Om te voorkomen dat de headers worden overschreven bij een update, kan je het beste de headers toe laten voegen op de server. Dit zorgt ervoor dat bij WordPress wijzigingen de security header instellingen niet verloren gaan.

Hulp nodig?

Wij kunnen de headers voor jouw website toevoegen. Neem hiervoor contact met ons op via support@savvii.com. In het bericht geef je de security headers op die je wilt implementeren, inclusief alle instellingen voor de headers. Geef hierbij ook aan voor welk domein de headers ingesteld moeten worden.

Len Wezendonk - Als support specialist bij Savvii denkt Len graag mee als het gaat om de performance en goede werking van je website.

Reactie achterlaten

Leer ons beter kennen!