Security headers maken je WordPress website veiliger

Security headers maken je Wordpress website veiliger - security headers

We weten allemaal dat WordPress websites gehackt kunnen worden. Omdat WordPress een open source CMS is, loop je zelfs extra risico omdat hackers gemakkelijk veiligheidsrisico’s kunnen uitbuiten. Een van de manieren om je WordPress beter te beveiligen is het instellen van security headers. Dit artikel verteld je wat security headers zijn, waarom ze belangrijk zijn en hoe je ze gemakkelijk zelf kan instellen.

Wat zijn security headers?

Security headers zijn speciale cookies of HTTP-headers die door een server naar een webbrowser worden verzonden. Deze headers bevatten instructies aan de webbrowser over hoe bepaalde data moet worden behandeld als deze door de browser wordt ontvangen en welke beveiligingsmaatregelen moeten worden genomen.

Waarom zijn security headers belangrijk?

We weten allemaal het gevaar van hackers, ze kunnen:

  • je site overnemen
  • spam plaatsen
  • malware instellen
  • spam versturen met je website

Als je WordPress website gehackt wordt, ben je wel even zoet.

Het is daarom belangrijk om te zorgen voor een veilige wordpress website.

Een van de dingen die je kunt doen om je website beter te beveiligen, is het instellen van security headers.

Security headers voorkomen dat je gehackt wordt

Welke typen security headers zijn er?

Er zijn verschillende security headers die je aan je website kunt toevoegen, zoals de “X-XSS-Protection” header. Deze header activeert de XSS-bescherming van de browser, waardoor het blokkeren van kwaadaardige scripts mogelijk wordt.

Een andere belangrijke security header is de “X-Content-Type-Options” header. Deze header voorkomt dat de browser bepaalde inhoudstypes uitvoert die potentieel schadelijk kunnen zijn.

En er is ook nog de “X-Frame-Options” header. Deze header voorkomt dat je website wordt geladen in een iframe op een andere website, waardoor clickjacking-aanvallen worden voorkomen.

Het instellen van de juiste security headers is een belangrijk onderdeel van de beveiliging van je website. Als je de headers niet juist instelt, loop je het risico dat je website kwetsbaar is voor beveiligingsbedreigingen. 

Hoe stel je security headers in?

Het instellen van de juiste security headers is een belangrijk onderdeel van de beveiliging van je WordPress website. Als je de headers niet juist instelt, loop je het risico dat je website kwetsbaar is voor beveiligingsbedreigingen. Daarom is het belangrijk om bekend te worden met de verschillende security headers en hoe je ze kunt instellen voor je website.

Je kan de security headers toevoegen aan je .htaccess bestand, of instellen doormiddel van een plugin. Zeker als je niet goed weet wat je doet, adviseren wij het laatste.

Handmatig instellen via .htaccess bestand

LET OP! Voordat je de security headers instelt, is het belangrijk om een SSL certificaat ingesteld te hebben (https) anders zal het inschakelen van deze headers er voor kunnen zorgen dat je website niet meer bereikbaar is, daarnaast is het goed om je eerst verder te verdiepen in het gebruik van security headers 

Open het bestand .htaccess wat in de root folder van je website is geplaatst met FTP.

Helemaal bovenaan plaats je deze code:

<IfModule mod_headers.c>
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header set Referrer-Policy "no-referrer-when-downgrade"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header always set Content-Security-Policy "upgrade-insecure-requests"
</IfModule>

Na het opslaan is het belangrijk om te controleren of je website nog goed werkt.

Security headers wordpress plugin

Het is mogelijk om alle security headers in te stellen met .htaccess, maar er is een makkelijkere oplossing. Met de plugin Headers Security Advanced & HSTS WP zorg je ervoor dat je de juiste security headers instelt voor je WordPress website.

Het instellen van deze plugin is super makkelijk, er zijn slechts een aantal velden die je hoeft in te stellen:

  1. De maximum leeftijd van de headers
  2. Wel of geen subdomeinen meenemen binnen de headers
  3. Wel of niet preloaden
Instellen HSTS headers

Instellen HSTS headers

Dat is alles! Na het klikken op opslaan zijn je security headers opgeslagen.

Controleren Security headers

Na het opslaan kan je het resultaat bekijken op securityheaders.com 

Test of je security headers goed staan ingesteld

Test of je security headers goed staan ingesteld

Je website is zojuist een stuk veiliger geworden!

Samenvatting

Security headers zijn belangrijk voor de beveiliging van je website. Zorg ervoor dat je de juiste headers instelt en hou de beveiliging van je website op de hoogte door regelmatig de laatste beveiligingsupdates te installeren en je bekend te maken met nieuwe beveiligingsbedreigingen. 

Wil je jouw website liever door ons laten beveiligen en updaten? Bekijk hier onze onderhoudspakketten.