Sicherheit beginnt an der Eingangstür Ihrer WordPress Website: dem Anmeldeformular. Das Ändern der WordPress-Anmelde-URL ist ein wichtiger erster Schritt zur Absicherung Ihres WordPress-Dashboards.
Tipps und Code-Beispiele zur Absicherung Ihres Internet-Auftritts
Ihr Internet-Auftritt könnte in Gefahr sein – So sichern Sie ihn jetzt problemlos ab!
Ihr Browser hat mehr Power als Sie denken, aber nur, wenn Sie ihm die richtigen Befehle geben.
HTTP-Sicherheits-Header sind Ihre erste Verteidigungslinie gegen eine Vielzahl von Online-Bedrohungen, von Datendiebstahl bis hin zu Cross-Site-Scripting-Angriffen. Leider bleibt dieses unglaubliche Sicherheitspotenzial oft ungenutzt, weil viele Entwickler nicht einmal wissen, dass es existiert!
Wenn Sie auf dieser Seite gelandet sind, haben Sie wahrscheinlich bereits eine Schwachstellenanalyse Ihrer Website durchgeführt. Sie erkennen die Notwendigkeit, jetzt zu handeln, bevor es zu spät ist. Unsere praxisnahen Leitfäden bieten sofort umsetzbare, kostenfreie DIY-Lösungen und Code-Beispielen, die Ihnen dabei helfen, Ihren Web-Auftritt in Minuten abzusichern.
WordPress Absicherung
Hinter der Idee, den WP-Adminbereich zu verstecken, steht das Prinzip security through obscurity („Sicherheit durch Obskurität/Unklarheit“). Hierbei machen wir es dem Angreifer schwieriger, wo der Eingang zu finden ist.
Den WP-Admin-Bereich zu verstecken und die WordPress-Loginseite vor Brute-Force-Angriffen zu schützen ist eine sinnvolle Ergänzung zur Gesamtsicherheit Ihrer WordPress Installation.
Diese sind praktisch kinderleicht anzuwenden und können Ihnen helfen, Ihre WordPress-Website zu einer Festung zu machen.
WordPress X-Pingback Header
WordPress nutzt XMLRPC, um Pingbacks und Trackbacks zu erstellen. Das kann Ihre Website ernsthaft gefährden. Testen Sie Ihre WordPress-Website auf diese bekannte Sicherheitslücke und entfernen Sie den X-Pingback-Header.
XSS Cross-Site Scripting
Die Abkürzung XSS (Webseitenübergreifendes Skripting) steht für Cross-Site Scripting und bezeichnet eine der häufigsten Angriffsmethoden im Internet. Durch offene Sicherheitslücken gelingt es Angreifern, Schadcode in eine vermeintlich vertrauenswürdige Umgebung einzubetten. Damit lassen sich Internetseiten verändern, Browser übernehmen oder vertrauliche Informationen wie Passwörter entwenden.
Mit unserem einfach anzuwendenden Code-Beispielen schützen Sie ihre Internet-Präsenz vor reflektiertem oder persistentem Cross-Site Scripting durch Absicherung des Server-Quellcodes.
Die Kombination der neuen COOP und COEP Security-Header ermöglichen es schnell und einfach, Ihre Website vor fremden Ursprungsangriffen zu isolieren (cross-origin isolation):
Cross-Origin-Opener-Policy: same-origin
Cross-Origin-Embedder-Policy: require-corp
Durch diese Einstellungen wird der Prozess der Webseite isoliert und das Laden von Ressourcen aus anderen Quellen nur dann gestattet, wenn diese explizit zustimmen. Dies erhöht die Sicherheit der Webseite erheblich gegenüber solchen Seitenkanalangriffen.
X-XSS-Protection-Header
Der X-XSS-Protection-Header ist darauf ausgelegt, den in modernen Webbrowsern integrierten Cross-Site Scripting (XSS)-Filter zu aktivieren. Wir zeigen Ihnen, wie Sie diesen korrekt implementieren.
Cross-Origin-Opener-Policy (COOP)
Erfahren Sie, wie mit dem Cross-Origin-Opener-Policy-Response-Header Dokumente in der Webentwicklung isolieren, um Cross-Origin-Angriffe und XS-Leaks zu verhindern.
Cross-Origin-Embedder-Policy (COEP)
Erfahren Sie, wie mit dem Cross-Origin-Embedder-Policy-Response-Header Dokumente in der Webentwicklung isolieren, um Cross-Origin-Angriffe und XS-Leaks zu verhindern.
HTTP Headers: Referrer-Policy
Der Referrer-Header ist ein Datenschutz-Albtraum, da er Websites und Diensten ermöglicht, Sie im Web zu verfolgen und Informationen über Ihr Surfverhalten zu sammeln.
X-Content-Type-Options
Webentwickler, die sich mittels Content Security Policy vor Cross-Site-Scripting-Angriffen schützen wollen, sollten auf jeden Fall den X-Content-Type-Options-Header verwenden.
Content Security (CSP)
Für die meisten Webseitenbetreiber ist es sinnvoll, zunächst eine Whitelist-CSP zu implementieren. Diese reduziert Ihre Angriffsfläche bereits erheblich. Der Schlüssel liegt darin, ein Gleichgewicht zwischen Sicherheit und Funktionalität zu finden. Hier finden Sie Code-Beispiele für einige der üblichen Webseiten Konfigurationen.
Wann benötigt meine Website eine Content-Security-Policy?
Eine CSP gehört zum Sicherheitsstandard für komplexe Webanwendungen, die anfällig für Cross-Site-Scripting sind. Dies gilt insbesondere für Websites im Rechts- und Gesundheitswesen, dem Bildungsbereich, für Behörden und Institutionen.
Die Content-Security-Policy korrekt einsetzen
Schützen Sie Ihre Website mit der Content-Security-Policy (CSP), um Cross-Site Scripting und Dateninjektionsangriffe präventiv zu erkennen und abzuwehren.
HTTP-Sicherheitsheader
Ein einfacher Weg, um Ihre Webanwendungen zu härten.
Moderne Webbrowser unterstützen eine Vielzahl von HTTP-Headern, die die Sicherheit von Webanwendungen erhöhen und Schutz gegen Clickjacking, Cross-Site-Scripting und andere gängige Angriffe bieten können.
Das Setzen geeigneter Header in Ihren Webanwendungen und Webserver-Einstellungen ist ein einfacher Weg, um die Widerstandsfähigkeit Ihrer Webanwendung gegen viele gängige Angriffe deutlich zu verbessern, einschließlich Cross-Site-Scripting (XSS) und Clickjacking-Angriffe.
Hier bieten wir leicht anwendbare Code-Beispiele für die wichtigsten HTTP-Sicherheitsheader, die Sie in Ihren Webseiten und Anwendungen setzen sollten.
Cross-Origin-Resource-Policy (CORP)
Erfahren Sie, wie CORP Ihnen die Kontrolle gibt, welche Herkünfte auf Ihre Ressourcen zugreifen können, um gegen XS-Leaks und spekulative Ausführungsangriffe zu schützen.
HTTP Headers: Referrer-Policy
Der Referrer-Header ist ein Datenschutz-Albtraum, da er Websites und Diensten ermöglicht, Sie im Web zu verfolgen und Informationen über Ihr Surfverhalten zu sammeln.
CSP Frame Ancestors und X-Frame-Options
HTTP-Security-Headers CSP Frame Ancestors und X-Frame-Options können Angriffe über Framing-Mechanismen, wie Clickjacking-Angriffe, wirkungsvoll unterbinden.
X-Content-Type-Options
Webentwickler, die sich mittels Content Security Policy vor Cross-Site-Scripting-Angriffen schützen wollen, sollten auf jeden Fall den X-Content-Type-Options-Header verwenden.
HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS) ist ein unkomplizierter und weit verbreiteter Standard zum Schutz vor Man-in-the-Middle-Angriffen. Erfahren Sie, wie Sie diese wichtige Maßnahme zur strengen Transportsicherheit mühelos umsetzen können.